Narażone na atak wszystkie wersje macOS. Zalecamy ostrożność z plikami ZIP

27 maja, 2019

W połowie maja 2019 roku Apple udostępniło najnowszą wersję macOS 10.14.5. I na tym moglibyśmy już zakończyć, dodając że wszystkie komputery Apple, które zostały wyprodukowane od 2012 roku, są podatne na uruchomienie zdalnego kodu bez interakcji z użytkownikiem. Wystarczy pobrać złośliwy ZIP i wypakować.

Luka znajduje się w mechanizmie GateKeeper. Tego „strażnika”, który zapobiega instalowaniu i uruchamianiu aplikacji / plików spoza zaufanych źródeł (bez podpisu cyfrowego), wprowadzono w 2012 roku, czyli siedem lat temu. Realna sytuacja wykorzystania GateKeeper (coś na wzór zabezpieczeń w Androidzie chroniących przed instalowaniem aplikacji spoza Google Play) to na przykład, kiedy użytkownik pobierze plik i spróbuje go uruchomić. Domyślnie preferencje dotyczące bezpieczeństwa są ustawione tak, aby zezwalać na dostęp aplikacjom pobranym ze sklepu App Store i od zidentyfikowanych deweloperów.

macos gatekeeper

Zgodnie z mechanizmem, GateKeeper traktuje dyski zewnętrzne oraz udziały sieciowe jako zaufane lokalizacje, co pozwala uruchamiać dowolne aplikacje bez zapytania. Użytkownik nie zobaczy takiego okienka ostrzegawczego:

gatekeeper ostrzeżenie

Wykorzystując logikę działania GateKeepera, aktor przygotowujący złośliwe oprogramowanie, może po rozpakowaniu archiwum ZIP zamontować zdalny folder z obcego serwera jako udział sieciowy. System „przeczyta” zawartość folderu ze zdalnego hosta (evil-attacker.com).

/net/evil-attacker.com/sharedfolder/

Druga część tej układanki polega na dowiązaniach symbolicznych w macOS. Kiedy zły hacker stworzy ZIP zawierający dowiązanie do folderu „Dokumenty” kierujące do /net/evil.com/Documents, to ofiara po wypakowaniu ZIP zobaczy folder z plikami umiejscowionymi na serwerze atakującego. Jako że GateKeeper traktuje takie lokalizacje za zaufane, to każdy plik znajdujący się w zdalnej lokalizacji można uruchomić bez komunikatu ostrzegawczego.

Trzecia część ataku polega na tym, że menadżer plików (Finder) nie pokazuje pełnej ścieżki. Ofiara będzie przekonana, że pliki znajdują się na dysku komputera. W rzeczywistości zostanie przeniesiona zgodnie z dowiązaniem symbolicznym. Jeżeli nie zauważy, że dowiązanie ma symbol skrótu i że aplikacja może mieć ikonkę folderu, to atakujący uzyska dostęp do powłoki systemowej z uprawnieniami użytkownika.

Poniższy film ilustruje ten atak:

Aktualizacji nie ma. Apple wiedziało o problemie od 22 lutego 2019 roku i ktoś najwyraźniej uznał, że nie ma co płakać nad rozlanym mlekiem.

Aby atak doszedł do skutku, użytkownik musi wypakować złośliwe archiwum i spróbować „przeklikać” się przez foldery. Jeden z tych folderów może udawać aplikację…

Skoro Apple nic nie zrobiło, zaleca się zakomentowanie linii zaczynającej się od „/net” w pliku „/etc/auto_master” i zrestartowanie systemu. Ta tymczasowa wskazówka wyłącza automatyczne montowanie udziałów sieciowych.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]