【安全资讯】零点击日历邀请：macOS关键漏洞链曝光

概要：

近日，安全研究员Mikko Kenttälä曝光了macOS中的一个关键零点击漏洞链，可能影响数百万用户。这个被称为“零点击日历邀请”的漏洞允许攻击者在无需用户交互的情况下远程执行恶意代码，严重威胁用户数据和系统安全。

主要内容：

这个漏洞链涉及一系列针对macOS日历应用的漏洞。攻击者通过发送特制的日历邀请，可以绕过安全措施，获得系统的未授权访问权限。一旦进入系统，攻击者可以执行任意代码，导致数据盗窃、系统妥协甚至完全控制设备。Kenttälä的分析详细描述了漏洞链的复杂步骤，突显了其高超的技术和严重性。

攻击的第一阶段始于macOS日历处理文件附件的漏洞。通过发送恶意日历邀请，攻击者可以利用目录遍历攻击操纵文件路径，在日历应用的沙箱内添加或删除任意文件。这一漏洞被追踪为CVE-2022-46723（CVSS 9.8），其严重性足以引起立即关注。单独来看，它允许攻击者在日历环境中删除或覆盖现有文件。

在此基础上，攻击的第二阶段在受害者升级macOS系统时启用远程代码执行（RCE）。Kenttälä发现，在版本升级期间（例如从Monterey到Ventura），漏洞可以触发嵌入在日历中的恶意文件。此复杂的攻击利用Samba服务器技巧绕过了包括Apple的Gatekeeper在内的多个安全机制，执行文件而不触发隔离警告。一旦有效载荷被执行，攻击者即可远程操控系统的日历数据。

最令人担忧的是，该漏洞链能够访问敏感的iCloud照片数据。通过操纵macOS的照片配置，攻击者可以将系统照片库更改为未受保护的目录，从而访问iCloud同步的照片，并将其下载到攻击者选择的位置。最终的有效载荷是一个名为PhotosPoC.sh的脚本，它会终止任何运行中的照片应用程序并导入新配置，将受害者的iCloud照片同步到受损目录。一旦照片存储在本地，攻击者可以通过简单的curl命令将其外传到外部服务器。苹果公司迅速采取行动修补了这些漏洞，并在2022年10月至2023年9月期间发布了修复补丁。