近日,微軟發(fā)布消息稱,威脅行為者可以利用 macOS 漏洞繞過透明,同意和控制(TCC)框架來訪問用戶受保護(hù)的數(shù)據(jù)。2021年7月15日,Microsoft 365 Defender 研究團(tuán)隊(duì)通過 Microsoft 安全漏洞研究 (MSVR) 向 Apple報(bào)告了名為powerdir的漏洞(編號(hào)為CVE-2021-30970)。
公開信息顯示,TCC是一種安全框架,允許macOS 用戶在其系統(tǒng)上安裝應(yīng)用程序,并連接到其Mac的設(shè)備(包括攝像頭和麥克風(fēng))來進(jìn)行隱私設(shè)置,以阻止應(yīng)用程序訪問敏感的用戶數(shù)據(jù)。
雖然Apple已經(jīng)通過TCC安全框架將應(yīng)用訪問權(quán)限進(jìn)行了限制,并設(shè)置了自動(dòng)阻止未經(jīng)授權(quán)的代碼執(zhí)行的功能,但 Microsoft 安全研究人員發(fā)現(xiàn),攻擊者可以植入第二個(gè)特制的 TCC 數(shù)據(jù)庫,允許他們?cè)L問受保護(hù)的用戶信息。
微軟首席安全研究員 Jonathan Bar Or表示: “我們發(fā)現(xiàn),通過編程方式可以更改目標(biāo)用戶的主目錄并植入一個(gè)虛假的TCC 數(shù)據(jù)庫,該數(shù)據(jù)庫存儲(chǔ)應(yīng)用程序請(qǐng)求的同意歷史記錄。如果在未打補(bǔ)丁的系統(tǒng)上利用此漏洞,攻擊者可能會(huì)竊取用戶的信息。例如攻擊者可以劫持設(shè)備上的應(yīng)用程序,或者安裝惡意軟件,并將訪問麥克風(fēng),記錄私人對(duì)話,竊取用戶屏幕上的敏感信息或屏幕截圖等。”
2021年12月13日,蘋果發(fā)布了安全更新報(bào)告,該漏洞已經(jīng)被修復(fù),Apple 通過改進(jìn)狀態(tài)管理,解決了 powerdir 安全漏洞錯(cuò)誤背后的邏輯問題。
此外,Apple 還修補(bǔ)了自 2020 年以來報(bào)告的其他TCC繞過,包括:
- Time Machine 掛載( CVE-2020-9771 ):macOS 提供了一個(gè)名為Time Machine的內(nèi)置備份和恢復(fù)解決方案。安全研究人員發(fā)現(xiàn)一個(gè)使用“noowners”標(biāo)志安裝 Time Machine 備份,這些備份包含 TCC.db 文件,攻擊者可以掛載這些備份并確定設(shè)備的 TCC 策略,而無需完全訪問磁盤。
- 環(huán)境變量中毒(CVE-2020-9934):發(fā)現(xiàn)用戶的tccd可以通過擴(kuò)展$HOME/Library/Application Support/com.apple.TCC/TCC.db來構(gòu)建TCC.db文件的路徑。由于用戶可以操縱環(huán)境變量,攻擊者可以將選定的 TCC.db 文件植入任意路徑,毒化 $HOME 環(huán)境變量,并讓 TCC.db 使用該文件。
- Bundle 結(jié)論問題( CVE-2021-30713 ):該漏洞濫用了 macOS 推斷應(yīng)用程序包信息的方式。例如,假設(shè)攻擊者知道通常具有麥克風(fēng)訪問權(quán)限的特定應(yīng)用程序,那么他們可以將其應(yīng)用程序代碼植入目標(biāo)應(yīng)用程序的包中,并“繼承”其 TCC 功能。
Jonathan Bar Or還表示,在這項(xiàng)研究期間,我們不得不更新概念驗(yàn)證 (POC) 漏洞利用,因?yàn)槌跏及姹静辉龠m用于最新的 macOS 版本 Monterey。這表明,即使macOS的操作系統(tǒng)和應(yīng)用程序隨著每個(gè)版本的發(fā)布而變的越來越安全,但是蘋果、安全研究人員和更大的安全社區(qū)等軟件供應(yīng)商仍需要不斷合作,以識(shí)別和修復(fù)漏洞,避免被攻擊者利用。
由于 macOS Monterey 12.1 受到保護(hù),因此簡單的答案是將 macOS 更新到最新版本。Apple 還同時(shí)發(fā)布了 macOS Big Sur 11.6.2 的更新,因此可以保護(hù)不支持 Monterey 的舊 Mac 免受該問題的影響。
參考來源:https://www.bleepingcomputer.com/news/microsoft/microsoft-powerdir-bug-gives-access-to-protected-macos-user-data/
