Спецпроекты

Найден элегантный способ обхода штатной защиты macOS. Видео

ПО Безопасность Бизнес
Основное защитное средство macOS можно обойти, если злоумышленнику удастся разместить вредоносный код в одной с жертвой локальной сети.

Gatekeeper ухом не поведет

В операционной системе компании Apple — macOS версии 10.14.5 (Mojave) и ниже — выявлена серьезная уязвимость, которая позволяет запускать произвольный код без участия пользователя.

В результате становится возможным обойти Gatekeeper — встроенную систему безопасности macOS, которая предотвращает запуск непроверенных приложений.

Как пояснил Филиппо Кавальярин (Filippo Cavallarin), эксперт по информбезопасности итальянской компании Segment, используя функции macOS, позволяющие автоматически монтировать внешние накопители, а также поддержку так называемых символических ссылок, злоумышленник может запустить код, не вызывая никакой реакции у Gatekeeper.

Например, с помощью команды autofs в macOS можно автоматически подключать в качестве внешних источников данных сетевые накопители. Gatekeeper будет рассматривать их как безопасные источники данных.

Под «символическими ссылками» подразумеваются файлы, в которых сохраняются данные о местоположении других файлов и папок, хранящихся вне локальных ресурсов (например, на внешних сетевых ресурсах). Если они хранятся в архиве, то система их на безопасность не проверяет. Таким образом, пользователя можно обманом заставить кликнуть по ним и обратиться к внешнему (вредоносному) контенту.

Несложный трюк с условиями

Метод эксплуатации, продемонстрированный Кавальяриным, довольно прост: он модифицировал файлы приложения Calculator (калькулятор), добавив к ним bash-скрипт, запускающий дополнительный исполняемый файл (iTunes в данном случае). Он также поменял иконку у Calculato.

Обход защиты macOS

Вкратце атака будет выглядеть следующим образом: злоумышленник создает ZIP-файл с «символической» ссылкой на внешний ресурс под его контролем и отправляет его жертве. Пользователь скачивает архив, открывает файл-ссылку и переходит на вредоносный ресурс. Он монтируется автоматически, Gatekeeper не проверяет его на предмет безопасности.

Главное и единственное препятствие для успешной атаки — ресурс злоумышленника должен находиться в той же локальной сети, что и компьютер жертвы.

Другие эксперты подтвердили воспроизводимость описанной Кавальяриным атаки. Сам он утверждает, что еще 22 февраля 2019 г. сообщил в Apple о наличии проблемы и теперь, по истечении 90 дней публикует подробности

Apple в мае 2019 г. выпустила исправление для сходной уязвимости CVE-2019-8589, которая позволяет вредоносному приложению обходить Gatekeeper. Увы, это не тот же баг, который выявил Кавальярин.

«Рискну предположить, что разработчики Apple не усмотрели особо серьезной угрозы в обнаруженной проблеме, поскольку для ее успешной эксплуатации понадобится соблюсти целый ряд условий, — считает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Однако считать описанный сценарий нереализуемым было бы весьма опрометчиво: с помощью социальной инженерии опытные киберзлоумышленники могут доводить до успешного завершения любые атаки.



Технология месяца

6G перебьет аппетит к 5G?

Сети 6G, как ожидают аналитики, начнут появляться уже через пять-десять лет.

Профиль месяца

Искусственный интеллект стал полумифическим понятием

Сергей Поляков

ИТ-директор Альфа-Банка