Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения.
Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.
Также для реализации уязвимости используются две особенности MacOS:
- autofs и пути “/net/*” — позволяют пользователям автоматически монтировать сетевые файловые ресурсы, начинающиеся с “/net/”. Например, при листинге NFS-ресурса: ls /net/evil-resource.net/shared/.
- zip-архивы могут содержать файлы символических ссылок, которые приводят к автомонтированию при распаковке архива на целевой системе.
Таким образом, для обхода Gatekeeper может использоваться следующий сценарий атаки.
Атакующий создает zip-архив с символической ссылкой на контролируемый им ресурс и отправляет жертве. Жертва распаковывает архив, что приводит к монтированию и добавлению в «доверенные» ресурса злоумышленника. На контролируемом ресурсе размещается приложение *.app, которое при стандартных настройках файлового менеджера Files отражается как локальная директория или иной безобидный объект. При этом расширение .app скрыто и полный путь к ресурсу не отображается.
Пример эксплуатации уязвимости:
Детали были опубликованы еще месяц назад, что позволило злоумышленникам создать вредоносное ПО и активно его эксплуатировать.
Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.
Автор: Jet CSIRT