Uma vulnerabilidade não corrigida no macOS Mojave permite que os invasores ignorem completamente o recurso de segurança do Gatekeeper. A Apple foi informada pela primeira vez sobre a falha em 22 de fevereiro, mas a atualização do macOS 10.14.5 da semana passada não corrigiu a vulnerabilidade, embora devesse.
O Gatekeeper é um recurso de segurança do macOS que aplica a assinatura de código e verifica os aplicativos baixados antes de abri-los, o que reduz a probabilidade de execução de malware inadvertidamente.
De acordo com o pesquisador de segurança Filippo Cavallarin, que descobriu e relatou essa supervisão de segurança no macOS para a Apple, via AppleInsider, um aplicativo não autorizado exploraria o fato de o Gatekeeper considerar unidades externas e compartilhamentos de rede como "locais seguros". Como resultado, qualquer aplicativo executado desses locais será executado sem a intervenção do Gatekeeper.
Aqui está um vídeo mostrando a prova de conceito em ação.
Ao combinar esse design do Gatekeeper com um par de recursos legítimos no macOS, uma parte não autorizada pode alterar completamente o comportamento pretendido do Gatekeeper, alertou o pesquisador.
Ok, quais são os dois recursos legítimos?
O primeiro recurso legítimo é o automount (também conhecido como autofs), que permite montar automaticamente um compartilhamento de rede acessando um caminho especial - nesse caso, qualquer caminho começando com '/ net /'. O segundo recurso legítimo é que os arquivos ZIP podem conter links simbólicos apontando para um local arbitrário (incluindo pontos de extremidade 'automount') e que o desarquivador do macOS não executa nenhuma verificação nos links simbólicos antes de criá-los.
Que tal um exemplo ilustrativo de como essa exploração realmente funciona?
Vamos considerar o seguinte cenário: um invasor cria um arquivo ZIP contendo um link simbólico para um ponto de extremidade de montagem automática que eles controlam (por exemplo, Documents -> /net/evil.com/Documents) e o envia à vítima. A vítima baixa o arquivo malicioso, extrai-o e segue o link simbólico.
Isso é terrível, a maioria das pessoas não consegue distinguir links simbólicos de arquivos reais.
Agora, a vítima está em um local controlado pelo invasor, mas confia no Gatekeeper, portanto, qualquer executável controlado pelo invasor pode ser executado sem nenhum aviso. A maneira como o Finder foi projetado para ocultar as extensões de aplicativos e o caminho completo do arquivo nas barras de título das janelas tornam essa técnica muito eficaz e difícil de detectar.
Cavallarin diz que a Apple parou de responder aos seus e-mails depois de ser alertado sobre o problema em 22 de fevereiro de 2019. "Como a Apple está ciente do meu prazo de divulgação de 90 dias, eu publico essas informações", ele escreveu em seu blog..
Nenhuma correção está disponível até o momento.
A Apple quase certamente corrigirá essa falha na próxima atualização. Até então, uma possível solução alternativa é desabilitar o recurso "automount" de acordo com as instruções fornecidas na parte inferior da postagem do blog do Cavallarin.
Você foi afetado por esta vulnerabilidade?
Nesse caso, gostaríamos de ouvir seus pensamentos nos comentários!