Noah Gregory 最近发表的一篇文章,着重指出了 macOS 系统中一个严重的漏洞,其编号为 CVE - 2024 - 54471。好在该漏洞已在 macOS Sequoia 15.1、macOS Sonoma 14.7.1 以及 macOS Ventura 13.7.1 的最新安全更新中得到修复。此漏洞存在暴露系统密码的风险,这也充分说明了将 macOS 设备更新至最新版本的重要性。
背景和技术细节
该漏洞利用了 macOS 中的进程间通信(IPC)机制,尤其是 Mach 内核的消息传递系统。
凭证存储在 macOS 钥匙串中
Mach 内核融合了 BSD 和 Mach 组件,是 Apple 操作系统的核心部分。据相关报告显示,它运用任务、线程、端口和消息等抽象概念来管理 IPC。端口作为通信通道,对于任务间安全地交换数据起着关键作用。然而,一旦这些机制没有得到妥善保护,就极有可能被不法分子利用。
Mach 接口生成器(MIG)在此次漏洞事件中扮演了重要角色。MIG 能够简化发送和接收 Mach 消息接口的创建过程,但它本身缺乏原生的安全防护措施。这就意味着,任何有权限向 MIG 服务器发送信息的任务,都能够在无需验证身份的情况下调用其例程。倘若 MIG 服务器缺乏对发件人的验证这一问题得不到妥善解决,将会给系统带来极大的安全隐患。
漏洞利用与修补
该漏洞是通过处理文件服务器凭据的 NetAuthAgent 守护程序被利用的。在未进行修补之前,攻击者能够向 NetAuthAgent 发送消息,从而获取任何服务器的凭据。
此次漏洞事件凸显了保护 IPC 机制的重要性,同时也表明所有任务必须对其接收到的消息的真实性进行验证。
目前,该漏洞的补丁已被包含在最近的 macOS 更新中,这再次强调了用户及时保持系统更新,以防范此类漏洞攻击的必要性。像 ipsw CLI 这类工具,能够通过定位使用与 MIG 服务器相关特定符号的二进制文件,帮助识别潜在的漏洞。不过,要是没有恰当的安全措施作为保障,这些机制依旧很容易遭到利用。
此次漏洞的曝光,凸显了保护像 macOS 这样复杂的操作系统安全所面临的持续性挑战。同时,也进一步强调了定期进行系统更新以及践行强有力的安全实践,对于保护用户数据和维护系统完整性的重要意义。
The Cybersecurity and Infrastructure Security Agency (CISA) has issued an urgent advisory regarding a critical zero-day vulnerability in Google Chrome that is actively being exploited in the wild. The vulnerability, identified as CVE-2025-2783, affects the Chromium-based browsers on Windows systems and poses a significant security risk to users and organizations. CVE-2025-2783 is a high-severity sandbox […]
The post CISA Warns of Google Chrome Zero-day Vulnerability Exploited in the Wild appeared first on Cyber Security News.
趋势科技近期的研究发现,Albabat 勒索软件出现了重大演变。如今,它不再仅仅针对 Windows 系统,还将目标对准了 Linux 和 macOS 系统。
这次扩张凸显出勒索软件团伙在利用多种操作系统以最大化其影响力方面,正变得越来越复杂。Albabat 组织一直在借助 GitHub 来简化其运营流程,并利用该平台管理配置文件以及勒索软件的基本组件。
Fiddler 显示勒索软件配置的下载
扩大目标和提高运营效率
Albabat 勒索软件的最新版本,具体指 2.0.0 和 2.5 版本,除了 Windows 系统外,还被设计用于从 Linux 和 macOS 设备收集系统和硬件信息。
用于收集 Linux 和 macOS 系统上的硬件和系统信息的脚本
这些版本通过 GitHub REST API 检索其配置数据,使用标有 “Awesome App” 的 “User - Agent” 字符串。
根据趋势科技的报告,此配置提供了有关勒索软件行为和操作参数的关键细节,显示出一种管理和更新恶意软件的复杂方式。GitHub 的使用让攻击者能够对勒索软件的配置进行集中控制,使得更新和调整他们的策略变得更加容易。
该勒索软件会加密各种文件扩展名,常见格式包括.exe、.lnk、.dll、.mp3 等,同时会跳过特定的文件夹和文件,以避免被发现或干扰系统操作。它还会终止各种进程,比如任务管理器和生产力软件,防止用户干扰其活动。攻击者将窃取的数据存储在 PostgreSQL 数据库中,这有助于他们追踪感染情况、监控付款情况,并且有可能出售敏感信息。
安全隐患和建议
Albabat 勒索软件能够针对多种操作系统,且利用 GitHub 提高运营效率,这突出了采取强有力网络安全措施的必要性。
组织应优先实施强大的访问控制、定期进行系统更新以及做好安全备份,以此减轻此类攻击带来的风险。
实施网络分段能够限制勒索软件的传播范围,而开展用户培训和增强安全意识的计划,则有助于防止最初的感染发生。主动安全解决方案(例如人工智能平台)能够通过预测和预防威胁,提供全面的保护,从而降低勒索软件攻击的风险。
Albabat 勒索软件仍在持续开发中,2.5 版本可能还在进一步完善,这表明这些威胁会不断演变。因此,随时了解入侵指标(IoC)并利用威胁情报,对于维持有效的网络安全防御、抵御像 Albabat 这样的新兴威胁来说,至关重要。