Найден элегантный способ обхода штатной защиты macOS. Видео
Основное защитное средство macOS можно обойти, если злоумышленнику удастся разместить вредоносный код в одной с жертвой локальной сети.Gatekeeper ухом не поведет
В операционной системе компании Apple — macOS версии 10.14.5 (Mojave) и ниже — выявлена серьезная уязвимость, которая позволяет запускать произвольный код без участия пользователя.
В результате становится возможным обойти Gatekeeper — встроенную систему безопасности macOS, которая предотвращает запуск непроверенных приложений.
Как пояснил Филиппо Кавальярин (Filippo Cavallarin), эксперт по информбезопасности итальянской компании Segment, используя функции macOS, позволяющие автоматически монтировать внешние накопители, а также поддержку так называемых символических ссылок, злоумышленник может запустить код, не вызывая никакой реакции у Gatekeeper.
Например, с помощью команды autofs в macOS можно автоматически подключать в качестве внешних источников данных сетевые накопители. Gatekeeper будет рассматривать их как безопасные источники данных.
Под «символическими ссылками» подразумеваются файлы, в которых сохраняются данные о местоположении других файлов и папок, хранящихся вне локальных ресурсов (например, на внешних сетевых ресурсах). Если они хранятся в архиве, то система их на безопасность не проверяет. Таким образом, пользователя можно обманом заставить кликнуть по ним и обратиться к внешнему (вредоносному) контенту.
Несложный трюк с условиями
Метод эксплуатации, продемонстрированный Кавальяриным, довольно прост: он модифицировал файлы приложения Calculator (калькулятор), добавив к ним bash-скрипт, запускающий дополнительный исполняемый файл (iTunes в данном случае). Он также поменял иконку у Calculato.
Обход защиты macOS
Вкратце атака будет выглядеть следующим образом: злоумышленник создает ZIP-файл с «символической» ссылкой на внешний ресурс под его контролем и отправляет его жертве. Пользователь скачивает архив, открывает файл-ссылку и переходит на вредоносный ресурс. Он монтируется автоматически, Gatekeeper не проверяет его на предмет безопасности.
Главное и единственное препятствие для успешной атаки — ресурс злоумышленника должен находиться в той же локальной сети, что и компьютер жертвы.
Другие эксперты подтвердили воспроизводимость описанной Кавальяриным атаки. Сам он утверждает, что еще 22 февраля 2019 г. сообщил в Apple о наличии проблемы и теперь, по истечении 90 дней публикует подробности
Apple в мае 2019 г. выпустила исправление для сходной уязвимости CVE-2019-8589, которая позволяет вредоносному приложению обходить Gatekeeper. Увы, это не тот же баг, который выявил Кавальярин.
«Рискну предположить, что разработчики Apple не усмотрели особо серьезной угрозы в обнаруженной проблеме, поскольку для ее успешной эксплуатации понадобится соблюсти целый ряд условий, — считает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Однако считать описанный сценарий нереализуемым было бы весьма опрометчиво: с помощью социальной инженерии опытные киберзлоумышленники могут доводить до успешного завершения любые атаки.