苹果的代码签名漏洞将允许恶意软件绕过多款Mac安全产品

进击者一旦成功使用该破绽,他们将能够造访到目标主机中存储的用户小我数据、财务数据和其他敏感信息

近期,来自安然公司Okta Rex的钻研专家Josh Pitts在macOS的代码署名机制中发清楚明了一个可以使用的安然破绽这个破绽匿伏了一年之久,它容许进击者将恶意的不受相信的代码冒充成受相信的正今世码,并绕过多款macOS平安产品的检测,此中包括Little Snitch、F-Secure xFence、VirusTotal、Google Santa和Facebook OSQuery

实际上,代码署名进击并不是一种新型的进击技巧,根据Pitts今日宣布的破绽表露信息:这种技巧跟之前的代码进击要领有所不合,这次的破绽并不必要治理员造访权、JITíing代码和内存崩溃便能够绕过代码署名检测进击者只必要使用一种专门制作的Fat/Universal文件就能够让macOS的代码署名功能返回有效的值,自2005年之后(OS X Leopard)宣布的苹果操作系统都将受到该破绽的影响

代码署名机制是一种抗衡恶意软件的紧张武器,它能够赞助用户识别已署名App的真实身份,并验证目标利用是否被不法窜悛改代码署名机制基于密码学措施来判断代码的真实性,并防止进击者将恶意代码冒充成正今世码

Pitts解释称:“收集安然、事故相应、信息取证以及小我用户都可以经由过程代码署名来区分正今世码以及恶意代码,然则macOS系统中的代码署名机制是可以被窜改的首先,进击者必要造访一个已署名的合法Fat/Universal款式文件,该文件中第一个Mach-O是颠末苹果验证的,其次添加的恶意代码必须根据目标macOS的架构(i386、x86_64或PPC)进行编译着末,Fat文件头中的CPU-TYPE必须设置为为无效类型,或者设置为跟目标主机芯片不合的CPU类型”

Okta Rex在吸收SecurityWeek的采访时表示,这项技巧可以成功绕过由苹果根证书署名的白名单、事故相应和进程保护规划

实际上,Okta Rex早在2018年2月22日就已经跟苹果公司取得了联系,并提交了响应的破绽PoC样本,但根据苹果当时的回应,他们并不觉得这是一个严重的安然问题当然了,Okta Rex肯定不是这样觉得的Okta Rex觉得苹果该当提醒第三方产品的开拓职员,好让他们自行修复相关问题不过直到今年的四月份苹果才看护到所有受影响的厂商,此中包括VirusTotal、Google、Facebook、Objective Development、F-Secure、Objective-See、Yelp和CarbonBlack

受影响的产品列表(包孕CVE)

VirusTotal(CVE-2018-10408)

Google—Santa,molcodesignchecker (CVE-2018-10405)

Facebook—OSQuery(CVE-2018-6336)

ObjectiveDevelopment—LittleSnitch (CVE-2018-10470)

F-Secure—xFenceand LittleFlocker (CVE-2018-10403)

Objective-See—WhatsYourSign,ProcInfo, KnockKnock, LuLu, TaskExplorer 及其他(CVE-2018-10404)

Yelp—OSXCollector(CVE-2018-10406)

CarbonBlack—Cb Response (CVE-2018-10407)

假如你正在应用的产品呈现在了上述列表中,我们建议尽快更新你所应用的产品,假如没有可用更新,请及时替换应用其他防护产品

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包