近日,微软宣布威胁行为者可以利用macOS漏洞绕过透明、同意和控制(TCC)框架来访问用户受保护的数据。2021年7月15日,Microsoft365Defender研究团队通过Microsoft安全漏洞研究(MSVR)向Apple报告了一个名为powerdir的漏洞(CVE-2021-30970)。根据公开资料,TCC是一个安全框架,它允许macOS用户在他们的系统上安装应用程序,并在连接到他们的Mac的设备(包括相机和麦克风)上配置隐私设置,以防止应用程序访问敏感的用户数据。尽管苹果已经通过TCC安全框架限制了应用程序访问,并设置了自动防止未经授权的代码执行的功能,但微软安全研究人员发现,攻击者可以植入第二个特制的TCC数据库,从而允许他们访问受保护的用户信息。微软首席安全研究员JonathanBarOr表示:“我们发现可以通过编程方式更改目标用户的主目录,并植入一个伪造的TCC数据库,该数据库存储应用程序请求的同意历史记录。通过利用此漏洞,攻击者可能会窃取用户信息。例如,攻击者可以劫持设备上的应用程序,或安装恶意软件来访问麦克风、记录私人对话、窃取用户屏幕上的敏感信息或截取屏幕截图等。”2021年12月13日,Apple发布了一份安全报告更新报告,该漏洞已被修复,Apple通过改进状态管理解决了powerdir安全漏洞错误背后的逻辑。此外,Apple还修补了自2020年以来报告的其他TCC绕过漏洞,包括:TimeMachineMount(CVE-2020-9771):macOS提供了一个名为TimeMachine的内置备份和恢复解决方案。安全研究人员发现了一个TimeMachine备份,使用“noowners”标志安装,这些备份包含TCC.db文件,允许攻击者安装这些备份并确定设备的TCC策略,而无需完全访问磁盘。环境变量中毒(CVE-2020-9934):发现用户的tccd可以通过展开$HOME/Library/ApplicationSupport/com.apple.TCC/TCC.db构建TCC.db文件的路径。由于用户可以操纵环境变量,攻击者可以将选定的TCC.db文件植入任意路径,毒化$HOME环境变量,并让TCC.db使用该文件。捆绑结论问题(CVE-2021-30713):此漏洞滥用macOS推断应用程序捆绑信息的方式。例如,假设攻击者知道通常可以访问麦克风的特定应用程序,他们可以将他们的应用程序代码注入目标应用程序的程序包并“继承”其TCC功能。JonathanBarOr还表示,在这项研究中,我们必须更新概念验证(POC)漏洞,因为初始版本不再适用于最新的macOS版本Monterey。这表明,即使macOS的操作系统和应用程序随着每个版本的发布而变得更加安全,Apple、安全研究人员和更大的安全社区等软件供应商也需要不断协作来识别和修复漏洞,以避免被攻击者利用。由于macOSMonterey12.1受到保护,简单的答案是将macOS更新到最新版本。Apple还同时发布了macOSBigSur11.6.2更新,因此不支持Monterey的旧款Mac不会受到此问题的影响。参考来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-powerdir-bug-gives-access-to-protected-macos-user-data/
