Спецпроекты

Найден элегантный способ обхода штатной защиты macOS. Видео

ПО Безопасность Бизнес
Основное защитное средство macOS можно обойти, если злоумышленнику удастся разместить вредоносный код в одной с жертвой локальной сети.

Gatekeeper ухом не поведет

В операционной системе компании Apple — macOS версии 10.14.5 (Mojave) и ниже — выявлена серьезная уязвимость, которая позволяет запускать произвольный код без участия пользователя.

В результате становится возможным обойти Gatekeeper — встроенную систему безопасности macOS, которая предотвращает запуск непроверенных приложений.

Как пояснил Филиппо Кавальярин (Filippo Cavallarin), эксперт по информбезопасности итальянской компании Segment, используя функции macOS, позволяющие автоматически монтировать внешние накопители, а также поддержку так называемых символических ссылок, злоумышленник может запустить код, не вызывая никакой реакции у Gatekeeper.

Например, с помощью команды autofs в macOS можно автоматически подключать в качестве внешних источников данных сетевые накопители. Gatekeeper будет рассматривать их как безопасные источники данных.

Под «символическими ссылками» подразумеваются файлы, в которых сохраняются данные о местоположении других файлов и папок, хранящихся вне локальных ресурсов (например, на внешних сетевых ресурсах). Если они хранятся в архиве, то система их на безопасность не проверяет. Таким образом, пользователя можно обманом заставить кликнуть по ним и обратиться к внешнему (вредоносному) контенту.

Несложный трюк с условиями

Метод эксплуатации, продемонстрированный Кавальяриным, довольно прост: он модифицировал файлы приложения Calculator (калькулятор), добавив к ним bash-скрипт, запускающий дополнительный исполняемый файл (iTunes в данном случае). Он также поменял иконку у Calculato.

Обход защиты macOS

Вкратце атака будет выглядеть следующим образом: злоумышленник создает ZIP-файл с «символической» ссылкой на внешний ресурс под его контролем и отправляет его жертве. Пользователь скачивает архив, открывает файл-ссылку и переходит на вредоносный ресурс. Он монтируется автоматически, Gatekeeper не проверяет его на предмет безопасности.

Главное и единственное препятствие для успешной атаки — ресурс злоумышленника должен находиться в той же локальной сети, что и компьютер жертвы.

Другие эксперты подтвердили воспроизводимость описанной Кавальяриным атаки. Сам он утверждает, что еще 22 февраля 2019 г. сообщил в Apple о наличии проблемы и теперь, по истечении 90 дней публикует подробности

Apple в мае 2019 г. выпустила исправление для сходной уязвимости CVE-2019-8589, которая позволяет вредоносному приложению обходить Gatekeeper. Увы, это не тот же баг, который выявил Кавальярин.

«Рискну предположить, что разработчики Apple не усмотрели особо серьезной угрозы в обнаруженной проблеме, поскольку для ее успешной эксплуатации понадобится соблюсти целый ряд условий, — считает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Однако считать описанный сценарий нереализуемым было бы весьма опрометчиво: с помощью социальной инженерии опытные киберзлоумышленники могут доводить до успешного завершения любые атаки.



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей