在2017年的最后一夜,一名代号为“Siguza”的安全研究人员在没有通知苹果公司相关漏洞信息并完成漏洞修复的情况下,向公众披露了macOS中一个潜伏长达15年之久的零日漏洞概念证明(POC)代码细节。
这个将自身描述成“业余爱好者黑客”的研究人员在一份非常详细的书面报告中写道,“在Mac OS系统中发现的这个零日漏洞——IOHIDeous至少已经潜伏了15年的时间,并且会影响所有Mac操作系统。”
目前,Siguza已经通过Github公布了该漏洞利用的细节以及PoC代码(https://github.com/Siguza/IOHIDeous/),并补充道,“这是一个基于IOHIDFamily(为人机界面设备设计的内核扩展,如触摸屏或按钮)零日漏洞的macOS内核漏洞利用。”
虽然该漏洞造成的影响范围极广,但是作为一个本地权限提升(LPE)漏洞,只有当攻击者具有Mac的本地访问权限或之前运行过该计算机设备才能够成功利用该漏洞。不过,一旦攻击者有权访问系统,就可以利用该漏洞来执行任意代码并获得root权限。
Siguza披露该漏洞信息的方式在Twitter上引起了热议。
当被问及为什么没把漏洞信息出售给政府或黑帽子时,他这样回复道:
我的主要目的是让人们能够了解到这件事情。我不会将漏洞信息出售给黑帽子黑客,因为我不会去助长他们的恶意行为。而如果苹果公司的漏洞悬赏项目中包含macOS系统漏洞,或是该漏洞存在被恶意行为者远程利用的风险,我会选择将漏洞信息提交给苹果公司,而不是向公众披露。但是显然现在两者都不是,我想我就在2017年最后一夜放出这个‘爆炸性’信息吧,毕竟如果这样能够引起重视的话为什么不这么做呢?不过,我这么做并不是为了危害任何人,因为如果是这样的话,我可以选择去写零日勒索软件,而不是写关于该漏洞的详细分析报告。
漏洞允许攻击者获得root访问权限
该漏洞已经在macOS系统中存在了十多年,可能会允许攻击者获得root访问权限。Siguza表示,攻击者可能使用了一个“睡眠者程序”,当用户注销、重启或关闭Mac设备时就会触发该攻击。
Siguza还在标题为《浩劫》的文件中指出,“除了允许攻击者获得root访问权限外,漏洞还允许攻击者能够禁用系统完整性保护(SIP)和 Apple 移动文件完整性(AMFI)安全功能。”
如上所述,关于该零日漏洞的分析报告是非常深入和详细的,因此,不是所有人都能够理解问题的关键,当有人因“太长不看”并要求Siguza做出概要解释时,他这样回复:Mac设备上的任何用户->完整的系统控制。
当公众对其披露该漏洞的方式进行指责时,Siguza解释称,我并不是出于报复目的去寻找并披露漏洞,相反地,我是出于爱的目的。虽然Siguza自称并非白帽子,但是如果他真的想要去伤害别人,他会去“挖掘一些远程控制漏洞,开发一些勒索蠕虫病毒,而不是像现在这样编写一份如此详细的漏洞报告,告知大家可能存在的安全风险。”
尽管如此,一些人仍然对Siguza的行为有所不满。对于这些人,他觉得人们因为他披露了尚未修复的零日漏洞POC,使macOS用户面临被攻击的风险而生气。但是他认为事实并非会如此。
如果该漏洞是脚本小子的作品,那么你是安全的,因为它只是一个本地权限提升漏洞,不存在远程攻击的可能。但是如果是能够获得远程代码执行的人,将导致内核中出现任意读/写的问题。
相关阅读