2022年10月13日01:37:45评论62 views字数 2654阅读8分50秒阅读模式

关键词

macOS

据ROARTALK网站消息，macOS Archive工具漏洞可绕过Gatekeeper检查，未签名的应用也可以在不向用户展示安全提醒的情况下执行。

Archive Utility是macOS系统自带的归档实用工具。Jamf Threat Labs安全研究人员在macOS Archive工具中发现了一个安全漏洞，漏洞CVE编号CVE-2022-32910。攻击者利用该漏洞可以构造压缩文件可以在不向用户展示安全提醒的情况下执行未签名的应用。

Archive工具可以提取不同压缩文件格式，包括7-ZIP、ZIP、TAR、CPIO、GZIP 和Apple Archive。一般情况下，双击支持的文件格式默认会使用Archive工具来处理压缩文件的解压缩。

漏洞分析

研究人员使用aa命令创建包含图片的压缩文件，目录结构如下所示：

aa archive -d images -o myPictures.aar

该压缩文件中含有images目录中的所有文件和文件夹，并输出名为myPictures.aar的压缩文件。如果压缩文件是下载的，且没有解压，目录结构如下所示：

然后，研究人员使用相同命令在该文件夹中添加一个文件4.png：

然后，再次下载压缩文件，并打开：

使用Archive工具解压后，可以看到明显的区别：myPictures.aar文件解压后，Archive工具会创建一个名为myPictures的文件夹，其中含有文件4.png，myPictures文件夹中不含有com.apple.quarantine 扩展属性，但是其中的文件4.png包含该属性。

在解压过程中，包括Archive Utility、AUHelperService和ArchiveService在内的多个进程都包含在内。研究人员使用苹果的终端安全工具监控了文件使用，发现ArchiveService进程将提取的内容写入到了以下临时目录：

/private/var/folders/{2-random-characters}/{31-random-characters}/T/com.apple.fileprovider.ArchiveService/TemporaryItems/NSIRD_ArchiveService_{6-random-characters}

Archive工具中包含一个名为_propagateQuarantineInformation的函数。ArchiveService进程确保quarantine属性在文件转移到目标位置前传播到了所有提取的内容中。并调用了libquarantine.dylib中的底层函数_qtn_file_apply_to_path，将quarantine属性应用到位于NSIRD_ArchiveService_XXXXXX 临时目录的解压文件中。

{ "event": "ES_EVENT_TYPE_NOTIFY_RENAME", "file": { "proc_path": "/System/Library/CoreServices/Applications/Archive Utility.app/Contents/XPCServices/AUHelperService.xpc/Contents/MacOS/AUHelperService", "destination": "/Users/jpcore/Downloads/myPictures", "original": "/private/var/folders/pp/slmzl7sd41z3h1rc4wqdndxr0000gn/T/com.apple.fileprovider.ArchiveService/TemporaryItems/NSIRD_ArchiveService_0uhVx9", "pid": 3718 }, "timestamp": "2022-09-16 14:43:19"}

但ArchiveService并未将quarantine属性应用到NSIRD_ArchiveService_XXXXXX文件夹，只应用到了提取的文件中。

AUHelperService调用_decompressMoveCopyResults 函数来将提取的内容从临时目录转移到目标位置，具体过程如下图所示：