网络安全专家白帽黑客发现Apple 0day漏洞 macOS合成鼠标点击进行内核漏洞攻击

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

受欢迎的白帽黑客和Digita Security首席研究官帕特里克·沃德尔发现了一个零日漏洞,可能允许攻击者模仿鼠标点击进行内核访问。

网络安全专家白帽黑客发现Apple 0day漏洞 macOS合成鼠标点击进行内核漏洞攻击

Wardle在拉斯维加斯举行的Def Con 2018会议期间发表了他的发现,他解释说,通过使用两行代码,他在High Sierra操作系统中找到了一个Apple零日,可以让本地攻击者虚拟地“点击”安全提示从而加载内核扩展。

一旦在Mac上获得内核访问权限,攻击就可以完全破坏系统。

Apple已经采取了安全措施,以防止攻击者模仿鼠标点击以批准在尝试执行可能潜在地暴露系统风险的任务时向用户提供的安全提示。

Patrick Wardle发现了一个漏洞,允许攻击者通过合成鼠标点击攻击绕过这种安全措施。

Wardle最近证明,本地特权攻击者可以利用第三方内核扩展中的漏洞绕过Apple的内核代码签名要求。

恶意软件开发人员和黑客已开始使用合成鼠标点击攻击来绕过此安全机制,并在批准安全警告时模拟人类行为。

Apple通过实施一项名为“用户辅助内核扩展加载”的新安全功能减轻了Wardle设计的攻击,该功能强制用户通过单击安全设置UI中的“允许”按钮手动批准加载任何内核扩展。

包括High Sierra在内的最新macOS版本引入了一种过滤机制来忽略合成事件。

在攻击者加载(签名)内核扩展之前,用户必须单击”允许“按钮。最近的这种安全机制旨在防止恶意攻击将代码加载到内核中。如果绕过这种机制就会结束比赛

Wardle发现可以通过使用两个连续的合成鼠标“向下”事件来欺骗macOS,因为操作系统错误地将它们解释为手动批准。

“由于某种未知的原因,两个合成鼠标'向下'事件使系统混乱,操作系统将其视为合法点击,”沃德尔说。“这完全打破了High Sierra的基本安全机制。”

专家解释说,操作系统将两个向下的序列混淆为鼠标“向下”和“向上”。操作系统还将“向上”事件混淆为内部事件,因此,它不会被过滤,它可以是滥用与High Sierra的用户界面交互,允许加载内核扩展。

Wardle意外通过将合成鼠标的代码复制并粘贴两次来发现问题。

我只是在玩这个功能。我意外地复制并粘贴了两次合成鼠标的代码 - 忘记更改标志值以指示鼠标“向上”事件。在没有意识到我的'错误'的情况下,我编译并运行了代码,老实说当它生成一个允许的合成点击时真的很惊讶!

两行代码完全打破了这种安全机制,”他补充说。“这种琐碎的攻击是成功的,真是令人难以置信。我很尴尬地谈论这个错误,因为它很简单 - 虽然我实际上对苹果更加尴尬。

根据Wardle的说法,该问题仅影响High Sierra,因为它是使用操作系统版本实现Apple的用户辅助内核扩展加载。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: