微软发现macOS漏洞，可导致恶意软件安全检测被绕过

微软的首席安全研究员 Jonathan Bar Or 发现，通过能够绕过Gatekeeper 应用执行限制的不可信应用程序，攻击者利用CVE-2022-42821就能在易受攻击的macOS设备上部署恶意软件。

一周前，苹果已在macOS 13 (Ventura)、macOS 12.6.2 (Monterey) 和macOS 1.7.2（Big Sur） 中修复了该漏洞。

通过限制性ACLs绕过 Gatekeeper

Gatekeeper 是一个macOS 安全特性，可自动检查从互联网上下载的所有应用（前提是获得公正和开发人员签名），在发出应用不可信的警报之前请求用户进行确认。而这是通过检查一个扩展属性com.apple.quarantine 实现的，该属性由web浏览器分配给所有已下载文件，这一机制类似于Windows 中的Mark of the Web机制。

该漏洞可导致特殊构造的payload滥用一个逻辑问题设立限制性访问控制清单 (ACL) 权限，阻止web浏览器和Internet 下载工具为payload归档为ZIP文件的下载内容设立com.apple.qurantine 属性。结果，所归档的恶意payload 中所包含的恶意app在目标系统上启动，而非被Gatekeeper 拦截，从而导致攻击者下载并部署恶意软件。

本周一，微软指出，“苹果在macOS Ventura 中引入的Lockdown 模式是一种为高风险用户设置的可选防御特性，它旨在阻止零点击远程代码执行exploit，因此无法抵御CVE-2022-42821。终端用户应在不考虑Lockdown Mode状态的情况下应用补丁。”

更多的macOS 安全绕过和恶意软件

这是近年来发现的其中一个Gatekeeper 绕过，其中很多被用于绕过类似于的macOS 安全机制，如Gatekeeper、File Quarantine和SIP等。

例如，Bar Or在2021年发现的Shrootless 漏洞可导致攻击者绕过SIP，在受陷Mac 上执行任意操作、将权限提升至root，甚至在易受攻击的设备上安装rootkit。他还发现了漏洞Powerdir可导致攻击者绕过TCC技术，访问用户的受保护数据。另外，还发布了CVE-2022-26706的 exploit 代码，该漏洞可导致攻击者绕过沙箱限制条件，在系统上运行代码。

2021年4月，苹果修复了一个macOS 0day，可导致Shlayer 恶意软件幕后的攻击者绕过苹果的File Quarantine、Gatekeeper和Notarization 安全检查并在受感染Mac设备上下载更多的恶意软件。

Shlayer 的创建人员还设法通过苹果的自动公正流程获得payload，并通过古老技术提升权限且禁用macOS 的Gatekeeper机制，运行未签名的payload。