Критическая уязвимость MacOS Mojave активно эксплуатируется злоумышленниками

в 7:00, , рубрики: gatekeeper, mac os, Блог компании Инфосистемы Джет, информационная безопасность

image

Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения.

Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.

Также для реализации уязвимости используются две особенности MacOS:

  1. autofs и пути “/net/*” — позволяют пользователям автоматически монтировать сетевые файловые ресурсы, начинающиеся с “/net/”. Например, при листинге NFS-ресурса: ls /net/evil-resource.net/shared/.
  2. zip-архивы могут содержать файлы символических ссылок, которые приводят к автомонтированию при распаковке архива на целевой системе.

Таким образом, для обхода Gatekeeper может использоваться следующий сценарий атаки.

Атакующий создает zip-архив с символической ссылкой на контролируемый им ресурс и отправляет жертве. Жертва распаковывает архив, что приводит к монтированию и добавлению в «доверенные» ресурса злоумышленника. На контролируемом ресурсе размещается приложение *.app, которое при стандартных настройках файлового менеджера Files отражается как локальная директория или иной безобидный объект. При этом расширение .app скрыто и полный путь к ресурсу не отображается.

Пример эксплуатации уязвимости:

Детали были опубликованы еще месяц назад, что позволило злоумышленникам создать вредоносное ПО и активно его эксплуатировать.


Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.

Автор: Jet CSIRT

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js