Et uprøvet macOS-sårbarhet lar malware fullstendig omgå Gatekeeper-sikkerhet

Et uslått sikkerhetsproblem i macOS Mojave lar angripere fullstendig omgå sikkerhetsfunksjonen for Gatekeeper. Apple ble først informert om feilen 22. februar, men forrige ukes macOS 10.14.5-oppdatering har ikke løst sårbarheten selv om den skulle.

Gatekeeper er en sikkerhetsfunksjon i macOS som håndhever kodesignering og verifiserer nedlastede apper før du åpner dem, noe som reduserer sannsynligheten for å utføre skadelig programvare utilsiktet..

I følge sikkerhetsforsker Filippo Cavallarin som oppdaget og rapporterte dette sikkerhetsoppsynet i macOS til Apple, via AppleInsider, ville en useriøs app utnytte det faktum at Gatekeeper anser både eksterne stasjoner og nettverksandeler som "trygge steder." Som et resultat vil enhver app kjøres fra disse stedene vil løpe uten Gatekeepers inngripen.

Her er en video som viser proof-of-concept i handling.

Ved å kombinere dette Gatekeeper-designet med et par legitime funksjoner i macOS, kunne et useriøst parti endre den tiltenkte oppførselen til Gatekeeper, advarte forskeren.

Ok, hva er de to legit-funksjonene?

Den første legit-funksjonen er automount (også kjent som autofs) som lar deg automatisk montere en nettverksdeling ved å gå inn på en spesiell bane - i dette tilfellet, hvilken som helst bane som begynner med '/ net /'. Den andre legitime funksjonen er at ZIP-arkiver kan inneholde symbolske lenker som peker til et vilkårlig sted (inkludert 'automount' endpoints) og at macOSs unarchiver ikke utfører noen sjekk på symlinkene før du oppretter dem.

Hva med et illustrerende eksempel på hvordan denne utnyttelsen faktisk fungerer?

La oss vurdere følgende scenario: en angriper lager en ZIP-fil som inneholder en symbolsk kobling til et endepunkt for automount de kontrollerer (for eksempel Dokumenter -> /net/evil.com/Documents) og sender det til offeret. Offeret laster ned det ondsinnede arkivet, trekker det ut og følger symlenken.

Dette er forferdelig, de fleste kan ikke skille symlink fra virkelige filer.

Nå er offeret på et sted som er kontrollert av angriperen, men som er klarert av Gatekeeper, slik at enhver angriperkontrollert kjørbar kan kjøre uten advarsel. Måten Finder er designet for å skjule apputvidelser og den fullstendige filstien i vinduets tittelfelt gjør denne teknikken veldig effektiv og vanskelig å få øye på.

Cavallarin sier at Apple sluttet å svare på e-postene sine etter å ha blitt varslet om saken 22. februar 2019. "Siden Apple er klar over 90 dagers avsløringsfrist, gjør jeg denne informasjonen offentlig," skrev han på bloggen sin.

Ingen reparasjoner er tilgjengelige per dags dato.

Apple vil nesten helt sikkert fpatchx denne feilen i neste oppdatering. Inntil da er en mulig løsning å deaktivere "automount" -funksjonen i henhold til instruksjonene som er gitt nederst i Cavallarin's blogginnlegg.

Har du blitt påvirket av dette sikkerhetsproblemet?

I så fall vil vi gjerne høre tankene dine i kommentarene!