Eine nicht gepatchte Sicherheitslücke in macOS Mojave ermöglicht es Angreifern, die Sicherheitsfunktion von Gatekeeper vollständig zu umgehen. Apple wurde zum ersten Mal am 22. Februar über den Fehler informiert, aber das MacOS 10.14.5-Update von letzter Woche hat die Sicherheitsanfälligkeit nicht behoben, obwohl dies beabsichtigt war.
Gatekeeper ist eine Sicherheitsfunktion von macOS, die die Codesignatur erzwingt und heruntergeladene Apps überprüft, bevor Sie sie öffnen. Dadurch wird die Wahrscheinlichkeit verringert, dass Malware versehentlich ausgeführt wird.
Laut dem Sicherheitsforscher Filippo Cavallarin, der diese Sicherheitsüberprüfung in macOS entdeckt und Apple über AppleInsider gemeldet hat, würde eine betrügerische App die Tatsache ausnutzen, dass Gatekeeper sowohl externe Laufwerke als auch Netzwerkfreigaben als "sichere Standorte" betrachtet. Daher wird jede App ausgeführt Von diesen Standorten aus wird ohne Eingreifen von Gatekeeper ausgeführt.
Hier ist ein Video, in dem Proof-of-Concept in Aktion gezeigt wird.
Durch die Kombination dieses Gatekeeper-Designs mit zwei legitimen Funktionen in macOS könnte eine Schurkenpartei das beabsichtigte Verhalten von Gatekeeper vollständig ändern, warnte der Forscher.
Okay, was sind die beiden legitimen Merkmale?
Die erste legitime Funktion ist automount (auch als autofs bezeichnet), mit der Sie eine Netzwerkfreigabe automatisch bereitstellen können, indem Sie auf einen speziellen Pfad zugreifen, in diesem Fall auf einen Pfad, der mit '/ net /' beginnt. Das zweite legitime Merkmal ist, dass ZIP-Archive symbolische Links enthalten können, die auf einen beliebigen Ort verweisen (einschließlich "automount" -Endpunkte), und dass der Unarchiver von macOS die Symlinks vor dem Erstellen nicht überprüft.
Wie wäre es mit einem anschaulichen Beispiel dafür, wie dieser Exploit tatsächlich funktioniert??
Angenommen, ein Angreifer erstellt eine ZIP-Datei mit einem symbolischen Link zu einem von ihm kontrollierten Automount-Endpunkt (z. B. Documents -> /net/evil.com/Documents) und sendet diese an das Opfer. Das Opfer lädt das schädliche Archiv herunter, extrahiert es und folgt dem Symlink.
Das ist schrecklich, die meisten Leute können Symlinks nicht von echten Dateien unterscheiden.
Jetzt befindet sich das Opfer an einem Ort, der vom Angreifer kontrolliert wird, dem Gatekeeper jedoch vertraut, sodass alle vom Angreifer kontrollierten ausführbaren Dateien ohne Vorwarnung ausgeführt werden können. Durch die Art und Weise, wie der Finder App-Erweiterungen und den vollständigen Dateipfad in den Titelleisten des Fensters ausblenden soll, ist diese Technik sehr effektiv und schwer zu erkennen.
Laut Cavallarin hat Apple aufgehört, auf seine E-Mails zu antworten, nachdem er am 22. Februar 2019 auf das Problem hingewiesen wurde. „Da Apple über meine 90-tägige Offenlegungsfrist informiert ist, mache ich diese Informationen öffentlich“, schrieb er in seinem Blog.
Es ist noch kein Fix verfügbar.
Apple wird diesen Fehler mit ziemlicher Sicherheit im nächsten Update beheben. Bis dahin besteht eine mögliche Problemumgehung darin, die Funktion "automount" gemäß den Anweisungen unten in Cavallarins Blog-Post zu deaktivieren.
Wurden Sie von dieser Sicherheitsanfälligkeit betroffen??
Wenn ja, würden wir gerne Ihre Gedanken in den Kommentaren hören!
