文章來源：
Zero-Click RCE Bug in macOS Calendar Exposes iCloud Data, Sep/18/2024.Nate Nelson

⚾️ 新聞概述

漏洞一連串攻擊的起點在於macOS的行事曆應用程式 !!!!

近期一名資安研究員揭露了 macOS 系統中多個不同嚴重程度的漏洞，這些漏洞可能讓駭客在無需任何使用者操作的情況下，遠端控制 Mac 電腦並竊取 iCloud 資料。

這類被稱為「零點擊遠端程式碼執行漏洞」（Zero-Click Remote Code Execution, Zero-Click RCE）的攻擊手段，暴露了蘋果安全機制中存在的弱點。

研究人員發現，行事曆程式對附加檔案名稱的處理存在問題，如此攻擊者可以藉此逃脫應用程式的沙箱限制(Sandboxing)。更嚴重的是，這個漏洞還能讓惡意程式繞過蘋果的Gatekeeper安全檢查機制，以及用於保護用戶隱私的TCC（透明度、同意與控制）系統。

攻擊者可以利用這些漏洞，透過發送含有惡意附件的行事曆邀請來入侵用戶系統，進而未經授權地存取 iCloud 照片並將敏感資料輕易傳送到遠端伺服器，而蘋果已在近期的系統更新中修補了這些問題。

◼️ Summarize

為什麼可以透過 Calendar 攻擊 ?

1. 檔案名稱處理的漏洞： macOS 的 Calendar 應用程式在處理附加到行事曆事件的檔名時存在嚴重缺陷

2. 自動處理機制： macOS 系統會自動處理行事曆邀請和附件，也就為攻擊者提供了一個無需用戶互動就能執行攻擊的途徑

3. 沙箱逃脫：攻擊者可以執行路徑穿越，將他們的附件命名為可以逃脫行事曆沙箱（Calendar應該儲存附加檔案的地方）到系統上其他位置的方式

4. 繞過安全機制：一旦逃脫沙箱，攻擊就能繞過 macOS 的主要安全功能—Gatekeeper 和 TCC安全機制

5. iCloud 資料存取： 攻擊者能夠重新指向 iCloud Photos 的配置檔案，使其指向 TCC 保護之外的自定義路徑，從而可以未經授權地存取用戶的照片

TCC（Transparency, Consent, and Control，透明度、同意與控制）是 macOS 系統 負責管理應用程式對敏感資料和系統資源的存取權限

◼️ What I learned

Q：什麼是零點擊遠端程式碼執行漏洞（Zero-Click Remote Code Execution, Zero-Click RCE）?

是一種不需要與使用者進行任何互動的資安漏洞。透過此漏洞，攻擊者不必依賴使用者點擊連結、下載檔案或進行其他操作，就可以遠端執行惡意程式碼。因此，受害者可能完全不知道自己已經被攻擊。

特點：

1. 不需要使用者互動：這類攻擊能在使用者完全不察覺的情況下執行，與傳統的「點擊式攻擊」不同，後者通常要求使用者點擊惡意連結或下載附件。
2. 高危險性：由於不需要使用者介入，零點擊攻擊非常隱密且難以防範，攻擊者能夠利用這種漏洞迅速掌控設備。
3. 常見於通訊應用和系統功能：零點擊漏洞常見於處理訊息或多媒體檔案的應用程式，像是電子郵件、簡訊或行事曆。這些應用在自動處理收到的資料時，可能會觸發惡意程式碼執行。

Q：什麼是路徑穿越（Path Traversal）？

攻擊者透過操控應用程式對檔案或目錄的存取路徑，來讀取、修改或刪除系統上++未經授權的檔案++。這種攻擊通常是利用應用程式在處理檔案路徑時未正確驗證或過濾，從而讓攻擊者能夠「跳出」預設的目錄範圍，進入其他敏感或不安全的檔案系統位置。

基本概念

攻擊者通常使用類似「../」的字串來進行目錄的向上跳轉（即上層目錄），例如：

• 原本應只允許存取 /var/www/app/uploads/ 目錄中的檔案，但攻擊者透過將檔案名稱設為 ../../../etc/passwd，跳過應用程式的目錄限制，進而存取系統的 /etc/passwd 檔案（儲存使用者帳號資訊的檔案）。

防範路徑穿越的措施

1. 檢查與過濾輸入：確保應用程式對檔案路徑的輸入進行嚴格的驗證與過濾，防止使用 ../ 等字符串進行路徑跳轉。

2. 限制檔案存取：將應用程式的檔案操作限定在特定目錄內，不允許對其他目錄的存取。

3. 使用絕對路徑：使用絕對路徑來避免目錄跳轉問題。

4. 權限管理：確保應用程式只有最低必要的權限來存取檔案，避免攻擊者利用權限漏洞進行不當操作。

參考文章

macOS 行事曆零點擊攻擊：遠端程式碼執行漏洞恐暴露 iCloud 資料,Sep/09/19.資安人