Хабрахабр

Критическая уязвимость MacOS Mojave активно эксплуатируется злоумышленниками

image

Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения.

Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.

Также для реализации уязвимости используются две особенности MacOS:

  1. autofs и пути “/net/*” — позволяют пользователям автоматически монтировать сетевые файловые ресурсы, начинающиеся с “/net/”. Например, при листинге NFS-ресурса: ls /net/evil-resource.net/shared/.
  2. zip-архивы могут содержать файлы символических ссылок, которые приводят к автомонтированию при распаковке архива на целевой системе.

Таким образом, для обхода Gatekeeper может использоваться следующий сценарий атаки.

Жертва распаковывает архив, что приводит к монтированию и добавлению в «доверенные» ресурса злоумышленника. Атакующий создает zip-архив с символической ссылкой на контролируемый им ресурс и отправляет жертве. При этом расширение .app скрыто и полный путь к ресурсу не отображается. На контролируемом ресурсе размещается приложение *.app, которое при стандартных настройках файлового менеджера Files отражается как локальная директория или иной безобидный объект.

Пример эксплуатации уязвимости:

Детали были опубликованы еще месяц назад, что позволило злоумышленникам создать вредоносное ПО и активно его эксплуатировать.
Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть