En oöverträffad sårbarhet i macOS Mojave tillåter angripare att helt och hållet kringgå säkerhetsfunktionen Gatekeeper. Apple informerades först om bristen den 22 februari, men förra veckans uppdatering av macOS 10.14.5 har inte fixat sårbarheten trots att den skulle.
Gatekeeper är en säkerhetsfunktion i macOS som verkställer kodsignering och verifierar nedladdade appar innan du öppnar dem, vilket minskar sannolikheten för att oavsiktligt köra skadlig programvara.
Enligt säkerhetsforskaren Filippo Cavallarin som upptäckte och rapporterade denna säkerhetsövervakning i macOS till Apple, via AppleInsider, skulle en falsk app utnyttja det faktum att Gatekeeper betraktar både externa enheter och nätverksdelningar som "säkra platser." Som ett resultat skulle varje app som körs från dessa platser kommer att köras utan Gatekeepers ingripande.
Här är en video som visar proof-of-concept i handling.
Genom att kombinera denna Gatekeeper-design med ett par legitima funktioner i macOS, kunde ett skurkparti helt ändra Gatekeepers avsedda beteende, varnade forskaren.
Okej, vad är de två legit-funktionerna?
Den första legit-funktionen är automount (även känd som autofs) som låter dig automatiskt montera en nätverksdelning genom att komma åt en speciell sökväg - i detta fall, vilken väg som börjar med '/ net /'. Den andra legitima funktionen är att ZIP-arkiv kan innehålla symboliska länkar som pekar på en godtycklig plats (inklusive "automatiskt" slutpunkter) och att MacOS: s unarchiver inte utför någon kontroll på symlänkarna innan du skapar dem.
Vad sägs om ett illustrativt exempel på hur denna exploatering faktiskt fungerar?
Låt oss tänka på följande scenario: en angripare skapar en ZIP-fil som innehåller en symbolisk länk till en automount-endpoint de kontrollerar (till exempel Dokument -> /net/evil.com/Documents) och skickar den till offret. Offret laddar ner det skadliga arkivet, extraherar det och följer symlänken.
Detta är fruktansvärt, de flesta människor kan inte skilja symlänkar från riktiga filer.
Nu är offret på en plats som kontrolleras av angriparen men som han litar på av Gatekeeper, så alla angriparkontrollerade körbara kan köras utan någon varning. Sättet Finder är utformat för att dölja apputvidgningar och den fullständiga filvägen i fönsterens titelfält gör den här tekniken mycket effektiv och svår att upptäcka.
Cavallarin säger att Apple slutade svara på sina e-postmeddelanden efter att ha blivit varnad om frågan den 22 februari 2019. "Eftersom Apple är medveten om min 90-dagars avslöjningsfrist så offentliggör jag denna information," skrev han på sin blogg.
Ingen fix finns tillgänglig ännu.
Apple kommer nästan säkert att fpatchx denna fel i nästa uppdatering. Fram till dess är en möjlig lösning att inaktivera "automount" -funktionen enligt instruktionerna längst ner i Cavallarin's blogginlägg.
Har du påverkats av den här sårbarheten?
I så fall skulle vi vilja höra dina tankar i kommentarerna!
