Door een ongeëvenaarde kwetsbaarheid in macOS Mojave kunnen aanvallers de beveiligingsfunctie van de Poortwachter volledig omzeilen. Apple werd voor het eerst op 22 februari geïnformeerd over de fout, maar de update van macOS 10.14.5 van vorige week heeft het beveiligingslek niet opgelost, hoewel.
Gatekeeper is een beveiligingsfunctie van macOS die code-ondertekening afdwingt en gedownloade apps verifieert voordat u ze opent, waardoor de kans op onbedoelde malware wordt verkleind.
Volgens beveiligingsonderzoeker Filippo Cavallarin die dit beveiligingstoezicht in macOS via AppleInsider ontdekte en aan Apple meldde, zou een malafide app misbruik maken van het feit dat Gatekeeper zowel externe schijven als netwerkshares beschouwt als 'veilige locaties'. vanaf deze locaties worden uitgevoerd zonder tussenkomst van Gatekeeper.
Hier is een video die proof-of-concept in actie toont.
Door dit Gatekeeper-ontwerp te combineren met een paar legitieme functies in macOS, kon een schurkenpartij het beoogde gedrag van Gatekeeper volledig veranderen, waarschuwde de onderzoeker.
Oké, wat zijn de twee legitieme kenmerken?
De eerste legitieme functie is automount (ook bekend als autofs) waarmee u automatisch een netwerkshare kunt koppelen door toegang te krijgen tot een speciaal pad - in dit geval elk pad dat begint met '/ net /'. De tweede legitieme functie is dat ZIP-archieven symbolische koppelingen kunnen bevatten die naar een willekeurige locatie verwijzen (inclusief 'automount'-eindpunten) en dat de unarchiver van macOS geen controle uitvoert op de symlinks voordat ze worden gemaakt.
Wat dacht je van een illustratief voorbeeld van hoe deze exploit eigenlijk werkt?
Laten we het volgende scenario overwegen: een aanvaller maakt een ZIP-bestand met een symbolische koppeling naar een eindpunt van automount dat hij beheert (bijvoorbeeld Documenten -> /net/evil.com/Documents) en stuurt het naar het slachtoffer. Het slachtoffer downloadt het kwaadaardige archief, extraheert het en volgt de symlink.
Dit is verschrikkelijk, de meeste mensen kunnen geen onderscheid maken tussen symlinks en echte bestanden.
Het slachtoffer bevindt zich nu op een locatie die wordt beheerd door de aanvaller, maar wordt vertrouwd door Gatekeeper, dus elk door een aanvaller beheerd uitvoerbaar bestand kan zonder waarschuwing worden uitgevoerd. De manier waarop de Finder is ontworpen om app-extensies te verbergen en het volledige bestandspad in de titelbalk van het venster, maakt deze techniek zeer effectief en moeilijk te herkennen.
Cavallarin zegt dat Apple niet meer op zijn e-mails reageerde nadat hij op 22 februari 2019 op de hoogte was gesteld van het probleem. "Aangezien Apple op de hoogte is van mijn 90 dagen openbaarheidstermijn, maak ik deze informatie openbaar", schreef hij op zijn blog.
Er is nog geen oplossing beschikbaar.
Apple zal deze fout vrijwel zeker in de volgende update oplossen. Tot die tijd is een mogelijke oplossing om de "automount" -functie uit te schakelen volgens de instructies onderaan de blogpost van Cavallarin.
Heeft u last van dit beveiligingslek?
Zo ja, dan horen wij graag uw mening in de reacties!