微軟揪出蘋果macOS系統的「阿基里斯」資安漏洞

編譯／鄭智懷

微軟稍早揭露了一項蘋果macOS系統中已經修復、名為「阿基里斯」（Achilles）的資安漏洞。攻擊者可以利用此漏洞繞過macOS系統內建的Gatekeeper安全機制對目標植入惡意程式，並藉機竊取電腦資料。

微軟表示，「阿基里斯」由首席安全研究員 Jonathan Bar Or所發現，其代碼為「CVE-2022-42821」。該漏洞利用存取控管清單（ACL）為下載的檔案添加可以通過Gatekeeper的權限，導致用戶在使用macOS系統下載並打開含有惡意程式的文件時，不會觸發 Gatekeeper 的安全警示。同時，「阿基里斯」還可以使攻擊者規避蘋果最新推出，旨在為少數面臨鎖定式資安攻擊的使用者，以及「零時差」（zero-day）漏洞防護的「鎖定模式」（Lockdown Mode）。

透過該資安漏洞，攻擊者可以製作惡意程式並上傳至第三方伺服器，通過社交工程（Social engineering）、惡意廣告（Malvertising）或水坑（Watering hole）等攻擊手法將其傳送到可能的攻擊目標。

Jonathan Bar Or表示，虛假應用程式是攻擊者打入macOS系統的主要方式之一，顯示繞過Gatekeeper安全機制是極具吸引力且攻擊方必備的能力。

「阿基里斯」並非唯一可繞過Gatekeeper的資安漏洞。早在2021年4月，蘋果修復了macOS系統中的「零時差」漏洞，旨在避免Shlayer 惡意軟體使用者可藉其繞過Gatekeeper 和安全驗證。

據微軟表示，資安團隊已經在2022年7月向蘋果通報「阿基里斯」漏洞。蘋果在近期已發布macOS 13（Ventura）、macOS 12.6.2（Monterey）和macOS 11.7.2（Big Sur）的更新，釋出修補該漏洞的補丁。

資料來源：Microsoft、TechCrunch、The Hacker News

瀏覽 1,036 次