Найден элегантный способ обхода штатной защиты macOS. Видео

Gatekeeper ухом неповедет В операционной системе компанииApple — macOSверсии 10.14.5 (Mojave) и ниже — выявлена серьезная уязвимость, которая позволяет запускатьпроизвольный код без участия пользователя. В результате становитсявозможным обойти Gatekeeper — встроенную систему безопасности macOS, которая предотвращает запуск непроверенныхприложений. Как пояснил Филиппо Кавальярин (Filippo Cavallarin), эксперт поинформбезопасности итальянской компании Segment, используя функции macOS, позволяющие автоматически монтировать внешниенакопители, а также поддержку так называемых символических ссылок,злоумышленник может запустить код, не вызывая никакой реакции у Gatekeeper. Например, с помощьюкоманды autofs вmacOS можноавтоматически подключать в качестве внешних источников данных сетевыенакопители. Gatekeeper будет рассматривать их как безопасные источники данных. Под «символическимиссылками» подразумеваются файлы, в которых сохраняются данные о местоположениидругих файлов и папок, хранящихся вне локальных ресурсов (например, на внешнихсетевых ресурсах). Если они хранятся в архиве, то система их на безопасность непроверяет. Таким образом, пользователя можно обманом заставить кликнуть по ними обратиться к внешнему (вредоносному) контенту. Несложный трюк с условиями Метод эксплуатации,продемонстрированный Кавальяриным, довольно прост: он модифицировал файлыприложения Calculator (калькулятор), добавив к ним bash-скрипт, запускающий дополнительный исполняемыйфайл (iTunes вданном случае). Он также поменял иконку у Calculato. Обход защиты macOS Вкратце атака будетвыглядеть следующим образом: злоумышленник создает ZIP-файл с «символической» ссылкой на внешний ресурспод его контролем и отправляет его жертве. Пользователь скачивает архив,открывает файл-ссылку и переходит на вредоносный ресурс. Он монтируетсяавтоматически, Gatekeeper не проверяет его на предмет безопасности. Главное и единственноепрепятствие для успешной атаки — ресурс злоумышленника должен находиться в тойже локальной сети, что и компьютер жертвы. Другие экспертыподтвердили воспроизводимость описанной Кавальяриным атаки. Сам он утверждает,что еще 22 февраля 2019 г. сообщил в Apple о наличии проблемы и теперь, по истечении 90 днейпубликует подробности Apple в мае 2019 г. выпустила исправление для сходной уязвимости CVE-2019-8589, котораяпозволяет вредоносному приложению обходить Gatekeeper. Увы, это не тот же баг, который выявилКавальярин. «Рискну предположить, чторазработчики Apple не усмотрели особо серьезной угрозы в обнаруженной проблеме, поскольку дляее успешной эксплуатации понадобится соблюсти целый ряд условий, — считает Михаил Зайцев, эксперт поинформационной безопасности компании SECConsultServices. — Однако считать описанный сценарийнереализуемым было бы весьма опрометчиво: с помощью социальной инженерииопытные киберзлоумышленники могут доводить до успешного завершения любые атаки. Короткая ссылка на материал: [url]#[/url] Ссылка на источник