Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения.

Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.

Также для реализации уязвимости используются две особенности MacOS:

1. autofs и пути “/net/*” — позволяют пользователям автоматически монтировать сетевые файловые ресурсы, начинающиеся с “/net/”. Например, при листинге NFS-ресурса: ls /net/evil-resource.net/shared/.
2. zip-архивы могут содержать файлы символических ссылок, которые приводят к автомонтированию при распаковке архива на целевой системе.

Таким образом, для обхода Gatekeeper может использоваться следующий сценарий атаки.

Атакующий создает zip-архив с символической ссылкой на контролируемый им ресурс и отправляет жертве. Жертва распаковывает архив, что приводит к монтированию и добавлению в «доверенные» ресурса злоумышленника. На контролируемом ресурсе размещается приложение *.app, которое при стандартных настройках файлового менеджера Files отражается как локальная директория или иной безобидный объект. При этом расширение .app скрыто и полный путь к ресурсу не отображается.

Пример эксплуатации уязвимости:

Детали были опубликованы еще месяц назад ^[1], что позволило злоумышленникам создать вредоносное ПО и активно его эксплуатировать.

---

Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.

Автор: Jet CSIRT

Источник ^[2]