一个存在11年的签名验证漏洞允许恶意软件绕过多款Mac安全产品

来自身份管理软件公司Okta的研究与开发工程师 Josh Pitts在本周二(6月12日)公开披露了一个在苹果macOS系统中存在了长达11 年之久的安全漏洞,该漏洞可能使得恶意软件能够更容易地绕过安全检查,并导致数百万苹果用户更加容易遭受黑客攻击。

来自身份管理软件公司Okta的研究与开发工程师 Josh Pitts在本周二(6月12日)公开披露了一个在苹果macOS系统中存在了长达11 年之久的安全漏洞,该漏洞可能使得恶意软件能够更容易地绕过安全检查,并导致数百万苹果用户更加容易遭受黑客攻击。
Pitts表示,他在第三方安全产品对代码签名API的解释中找到了一个旁路,使未签名的恶意代码看起来像是由苹果官方签署的。这意味着,某些安全产品可能会因遭受“欺骗”而误以为恶意软件是由苹果签署的,进而允许恶意软件绕过其检测,从而感染用户设备。
可能遭受“欺骗”的几款第三方安全产品包括:Little Snitch、F-Secure xFence、VirusTotal、Google Santa和Facebook OSQuery。这个漏洞最早可以追溯到2007年推出的OS X Leopard 系统,并且至今一直存在。对苹果用户来说,相对而言较好的消息是,漏洞仅会影响到macOS和OSX的旧版本。
代码签名是一种安全机制,它使用公钥基础结构对编译后的代码甚至脚本语言进行数字签名,以确保来源可信以及已部署的代码没有被修改。在macOS或者iOS上,代码签名专注于Mach-O二进制文件和应用程序包,以确保只有受信任的代码在内存中执行。
一个存在11年的签名验证漏洞允许恶意软件绕过多款Mac安全产品

然而,Pitts指出,大多数产品用于检查代码签名的机制都存在被绕过的风险,它允许恶意代码与合法的苹果签名代码捆绑在一起,从而有效地让恶意软件看起来像是苹果官方签署的。
应该指出的是,这个漏洞与macOS本身无关。相反,应该算是一个与第三方安全产品在处理Mac的可执行文件(Universal /Fat文件)时如何实现苹果的代码签名API有关的漏洞。
Universal/Fat文件是一种二进制格式,它包含多个Mach-O(可执行文件、dyld或bundle)文件,每个文件都针对特定的本机CPU体系结构(例如:i386,x86_64或PPC)。
“这个漏洞存在于Mach-O加载程序加载已签名代码的方式与代码签名API检查已签名代码的方式之间的差异,并且通过格式不正确的Universal /Fat Binary来利用。”Pitts解释说。
Pitts为此还创建了几个特定的PoC Universal/Fat文件以供第三方安全产品的开发人员使用,用于测试他们的产品是否存在此漏洞。
Pitts表示,在某些情况下,利用这种技术的成功攻击可以让攻击者获得用户的个人数据、财务细节,甚至是敏感的内部信息。
以下列出了具体受影响的供应商及其相关的安全产品和漏洞CVE编号:

VirusTotal – CVE-2018-10408
Google – Santa, molcodesignchecker – CVE-2018-10405
Facebook – OSQuery - CVE-2018-6336
Objective Development – LittleSnitch – CVE-2018-10470
F-Secure- xFence (also LittleFlocker) CVE-2018-10403
Objective-See – WhatsYourSign, ProcInfo, KnockKnock, LuLu, TaskExplorer (and others). – CVE-2018-10404
Yelp - OSXCollector – CVE-2018-10406
Carbon Black – Cb Response – CVE-2018-10407

Okta公司在今年3月首次向苹果通报了这一漏洞,但该公司表示,他们并不认为这应该是属于由他们直接来解决的安全问题。
因此,在收到苹果的回复后,Okta公司联系了美国计算机紧急事件响应小组协调中心(CERT/CC),然后通知了所有已知的受影响的第三方安全产品厂商,这些公司目前正在开发用于解决问题的安全补丁。
目前,Facebook也已经在OSquery的最新版本中解决了这个问题。同时,F-Secure也向xFENCE用户推出了自动更新,以修补漏洞。
如果你也正在使用上述安全产品中的某一个,那么我们建议你在未来几天里检查更新,并在厂商发布更新版本后立即升级,以防止来自利用此漏洞的攻击。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

tags: 漏洞,CVE,签名,代码,Pitts,苹果,恶意,macOS,软件,Fat,Universal,产品
分页:12
转载请注明
本文标题:一个存在11年的签名验证漏洞允许恶意软件绕过多款Mac安全产品
本站链接:https://www.codesec.net/view/577302.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(181)