软件错误让恶意软件绕过宏的安全防御

更糟糕的是，证据显示了一个臭名昭着的Mac恶意软件，在本周苹果公司随后修补之前的几个月内一直在利用这种脆弱性。

多年来，MACS适应通过在他们的路上施加技术障碍来捕获最常见的恶意软件。实际上，MacOS标志潜在的恶意应用程序伪装成已从互联网下载的文件。如果麦克斯尚未审查该应用程序 - 一个过程Apple调用公证 - 或者如果它无法识别其开发人员，则不会允许应用程序而无需用户干预即可运行。

但是，安全研究员CEDRIC OWENS表示，他在3月中旬发现的错误绕过这些检查，并允许恶意应用程序运行。

欧文斯告诉TechCrunch，该错误允许他建立一个潜在的恶意应用程序，看起来像一个无害的文件，当打开时打开扫描麦斯卡斯的内置防御时。

“所有用户都需要做的是双击 - 没有生成麦克斯提示或警告，”他告诉TechCrunch。欧文斯建立了一个概念证据，伪装成一个无害的文档，用于开发错误来启动计算器应用程序，这是一种展示错误的方法而不删除恶意软件。但是，恶意攻击者可以利用这种脆弱性来远离用户的敏感数据，只要通过欺骗受害者来打开欺骗文件，他解释说。

欧文斯向Apple报告了攻击者滥用这种脆弱性的潜力。

Apple告诉TechCrunch它修复了Macos 11.3中的错误。 Apple还修补了早期的MacOS版本，以防止滥用，并将更新的规则推出到Xprotect，ick内置的反恶意软件引擎，以阻止恶意软件利用漏洞。

欧文斯询问Mac安全研究员Patrick Watchle调查如何 - 以及为什么 - Bug工作。在今天的技术博客文章中，Watchle解释说，由于麦斯科斯州的底层代码中的逻辑错误，漏洞触发了。该错误意味着MacOS正在错误分类某些应用程序捆绑包并跳过安全检查，允许欧文斯的验证应用程序运行不受阻碍。

简单来说，MacOS应用程序不是一个文件，而是一个文件，但是应用程序需要工作的一个不同文件，包括一个属性列表文件，其中包含所取决于它所取决于文件的应用程序。但欠款发现，使用特定结构取出此属性文件并构建捆绑包可以将宏授予打开捆绑包 - 并在内部运行代码 - 不触发任何警告。

Watchle描述了渲染麦斯卡斯的安全功能，如“完全没有实用”的错误。他确认Apple的安全更新已修复了错误。 “现在将导致应用程序的正确分类为捆绑包，并确保不受信任的，不可批准的应用程序（又一次）被阻止，从而受到保护，”他告诉TechCrunch。

凭借如何了解Bug Works的方式，Waterle要求Mac Security Company Jamf了解是否有任何证据表明在欧文斯发现之前已被剥削的错误。 Jamf检测Lead Jaron Bradley确认，在欧文斯发现之前几个月的几个月，1月初捕获了利用该错误的Shlayer恶意软件家庭样本。 Jamf还发布了关于恶意软件的技术博客文章。

“我们使用此技术未发现的恶意软件是Shlayer的更新版本，这是2018年首次发现的恶意软件系列。众所周知，Shlayer是MacOS上最丰富的恶意软件之一，所以我们已经开发了各种检测为了它的许多变种，我们紧紧追踪其演变，“布拉德利告诉TechCrunch。 “我们的一个检测器警告我们到这个新的变体，并且在仔细检查后，我们发现它使用此旁路允许它安装在没有最终用户提示的情况下。进一步的分析使我们相信恶意软件的开发人员发现零日并调整他们的恶意软件在2021年初使用它。“

Shlayer是拦截加密的Web流量的广告 - 包括支持HTTPS的网站 - 并注明自己的广告，为运营商制作欺诈性广告。

“经常通过欺骗用户进入伪造应用程序安装人员或更新器来安装，”布拉德利说。 “使用此技术的Shlayer版本才能逃避内置恶意软件扫描，并在没有额外的情况下启动”您确定的是'提示用户，“他说。

“关于这种变体最有趣的是，作者已经拍了一个旧版本并略微修改，以绕过摩托斯上的安全功能，”布拉德利说。 Waterle还发布了一个Python脚本，帮助用户检测到任何过去的开发。 这不是Shalayer第一次逃避麦斯科的防御。 去年，与安全研究员彼得Dantini合作，发现了一个由Apple不小心公证的世纪人的样本，该过程是开发人员向Apple提交他们的应用程序的安全检查，因此该应用程序可以在数百万Mac上运行。