轉載「macOS 行事曆零點擊攻擊：遠端程式碼執行漏洞恐暴露 iCloud 資料」訊息

 macOS 行事曆零點擊攻擊：遠端程式碼執行漏洞恐暴露 iCloud 資料

macOS 近期發現了一系列零點擊漏洞，其嚴重程度不一。這些漏洞可能使駭客繞過 macOS 的關鍵安全機制，進而危及使用者的 iCloud 資料。

問題源於行事曆功能對附加檔案的過濾不足。資安研究員發現，利用此漏洞可在目標系統上執行遠端程式碼（RCE），從而存取敏感資料，更在其測試中成功存取了 iCloud 相簿。更令人憂心的是，這整個攻擊過程無需使用者介入，且 Apple 的 Gatekeeper 和 TCC（透明度、同意與控制）等安全機制都無法阻擋。

 

 macOS 零點擊攻擊鏈
攻擊鏈中最嚴重的第一個漏洞 CVE-2022-46723，在2023年2月被評為「重大」等級，CVSS評分高達9.8分（滿分10分）。

這個漏洞不僅危險，還極易被利用。由於 macOS 未能正確驗證檔名，駭客只需發送含惡意檔案的行事曆邀請給受害者，並任意命名檔案，進而引發意想不到的後果。

舉例來說，駭客可將檔案命名為特定系統檔案，意圖刪除它。若他們給檔案取與現有檔案相同的名稱，並刪除用於傳送的行事曆事件，系統就會同時刪除惡意檔案及其偽裝的原始檔案。

更令人擔憂的是，駭客能夠執行目錄遍歷攻擊，透過特殊的命名技巧，讓原應被限制的附加檔案逃出行事曆的沙盒環境，進而入侵系統的其他區域。

研究員巧妙運用這種任意寫入檔案的能力，在 macOS Ventura 即將上線時發動攻擊。他首先建立了一個偽裝成 Siri 建議的重複行事曆事件檔案，隱藏在系統升級過程中以觸發執行其他檔案的機制。其中一個後續檔案負責將舊的行事曆資料移轉到新系統，另一個則允許他掛載來自 Samba（開源的網路檔案共享協定）的網路共享而不觸發任何安全警報。最後再由兩個檔案觸發惡意程式的執行，完成這個精心設計的攻擊鏈。

【資安新聞-資安人】

macOS 行事曆零點擊攻擊：遠端程式碼執行漏洞恐暴露 iCloud 資料

詳細資訊請參考：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11256