O vulnerabilitate necompletată în macOS Mojave permite atacatorilor să ocolească complet funcția de securitate Gatekeeper. Apple a fost informată pentru prima dată despre defectul din 22 februarie, dar actualizarea macOS 10.14.5 de săptămâna trecută nu a rezolvat vulnerabilitatea, chiar dacă trebuia.
Gatekeeper este o caracteristică de securitate a macOS-urilor care impune semnarea codului și verifică aplicațiile descărcate înainte de a le deschide, ceea ce reduce probabilitatea executării necorespunzătoare a programelor malware.
Potrivit cercetătorului de securitate Filippo Cavallarin, care a descoperit și raportat această supraveghere a securității în macOS către Apple, prin AppleInsider, o aplicație necinstită ar exploata faptul că Gatekeeper consideră atât unitățile externe, cât și acțiunile de rețea drept „locații sigure”. Ca urmare, orice aplicație executată. din aceste locații vor rula fără intervenția Gatekeeper.
Iată un videoclip care arată dovada conceptului în acțiune.
Combinând acest design Gatekeeper cu o pereche de caracteristici legitime în macOS, o persoană necinstită ar putea modifica complet comportamentul intenționat al Gatekeeper, cercetătorul a avertizat.
Bine, care sunt cele două caracteristici legitime?
Prima caracteristică legitimă este automount (cunoscută și sub denumirea de autofs) care vă permite să montați automat o partajare de rețea accesând o cale specială - în acest caz, orice cale care începe cu '/ net /'. A doua caracteristică legitimă este că arhivele ZIP pot conține legături simbolice care indică o locație arbitrară (inclusiv punctele finale „automount”) și faptul că unarchiver-ul macOS nu efectuează nicio verificare pe simboluri înainte de a le crea.
Ce zici de un exemplu ilustrativ despre cum funcționează de fapt această exploatare?
Să luăm în considerare următorul scenariu: un atacator creează un fișier ZIP care conține o legătură simbolică către un punct final automat pe care îl controlează (de exemplu, Documente -> /net/evil.com/Documents) și îl trimite victimei. Victima descarcă arhiva rău intenționată, o extrage și urmează simbolul.
Acest lucru este îngrozitor, majoritatea oamenilor nu pot distinge simbolurile de fișierele reale.
Acum victima se află într-o locație controlată de atacator, dar are încredere de Gatekeeper, astfel încât orice executabil controlat de atacator poate rula fără niciun avertisment. Modul în care este găsit designul pentru a ascunde extensiile de aplicații și calea completă a fișierului în barele de titlu ale ferestrei face ca această tehnică să fie foarte eficientă și greu de detectat.
Cavallarin spune că Apple a încetat să mai răspundă la e-mailurile sale după ce a fost alertată cu privire la problema din 22 februarie 2019. „Deoarece Apple are cunoștință de termenul meu de divulgare de 90 de zile, fac aceste informații publice”, a scris el pe blogul său.
Deocamdată nu există o soluție disponibilă.
Apple va face aproape sigur acest defect în următoarea actualizare. Până atunci, o posibilă soluție este dezactivarea funcției „automount” în conformitate cu instrucțiunile furnizate în partea de jos a blogului Cavallarin..
Ați fost afectat de această vulnerabilitate?
Dacă da, am dori să auzim gândurile tale în comentarii!
