Una herramienta VULNERABILITY en Gatekeeper de macOS se está explotando activamente en la naturaleza, aunque parece que solo fue parte de una prueba realizada por una empresa de adware.
El mes de mayo pasado, el investigador de seguridad Filippo Cavallarin descubrió e hizo pública una manera de evitar la función Gatekeeper de macOS, que es una herramienta de seguridad que se pone en marcha para verificar una aplicación una vez que se ha descargado para asegurarse de que Apple firmó su código como legítimo.
Pero Cavallarin descubrió que la forma en que Gatekeeper hace esto no es tan segura, ya que considerará las unidades externas y los recursos compartidos de red como "ubicaciones seguras" para las aplicaciones. Eso significa que cualquier aplicación en esas ubicaciones puede ejecutarse sin que el código sea verificado nuevamente.
Al engañar a una víctima para que monte una unidad de red compartida, cualquier cosa en la carpeta relacionada con la unidad podría ejecutarse sin que Gatekeeper los verifique, lo que efectivamente abriría una máquina macOS a aplicaciones y códigos maliciosos.
Cavallarin explicó que la derivación del controlador de acceso funciona explotando un proceso legítimo, el primero de los cuales es la función de montaje automático que permite a un usuario montar automáticamente un recurso compartido de red al acceder a una ruta "especial" que podría hacer que macOS lea una carpeta en un host remoto.
La segunda característica legítima es que los archivos zip contienen enlaces simbólicos que apuntan a una ubicación arbitraria, en particular ubicaciones de montaje automático, y que los bits de macOS responsables de descomprimir archivos zip no realizarán ninguna comprobación antes de crearlos.
Si eso está convirtiendo su noggin en papilla, Cavallarin tiene un ejemplo de cómo podría funcionar la derivación del controlador de acceso.
"Un atacante elabora un archivo zip que contiene un enlace simbólico a un punto final de montaje automático que controla (ex Documentos -> / net / evil.com/Documents ) y lo envía a la víctima. La víctima descarga el archivo malicioso, lo extrae y Sigue el enlace simbólico ", dijo Cavallarin.
"Ahora la víctima se encuentra en una ubicación controlada por el atacante pero confiada por Gatekeeper, por lo que cualquier ejecutable controlado por el atacante puede ejecutarse sin ninguna advertencia. La forma en que está diseñado el Finder (ex ocultar extensiones .app, ocultar la ruta completa desde la barra de título) hace que esto Técnica muy efectiva y difícil de detectar ".
Cavallarin notó que alertó a Apple sobre el problema en febrero, y que los buscadores de código de Cupertino debían haberlo solucionado con macOS 10.14.5. Pero eso no parece haber ocurrido, ya que la empresa de seguridad Intego ha descubierto un ejemplo de su uso.
"A principios de la semana pasada, el equipo de investigación de malware de Intego descubrió los primeros usos conocidos de la vulnerabilidad de Cavallarin, que parecen haber sido utilizados, al menos al principio, como una prueba de preparación para distribuir malware", explicó el principal analista de seguridad de Intego, Joshua Long.
"Aunque la divulgación de la vulnerabilidad de Cavallarin especifica un archivo comprimido .zip, las muestras analizadas por Intego eran en realidad archivos de imagen de disco. Parece que los fabricantes de malware estaban experimentando para ver si la vulnerabilidad de Cavallarin también funcionaría con las imágenes de disco.
"Los archivos de imagen de disco eran una imagen ISO 9660 con un nombre de archivo .dmg o un archivo .dmg de formato de imagen de disco de Apple real, según la muestra. Normalmente, una imagen ISO tiene una extensión de nombre de archivo .iso o .cdr, pero los archivos .dmg (imagen de disco de Apple) se usan mucho más comúnmente para distribuir software de Mac ".
Intego encontró cuatro ejemplos de tales archivos que se subían de forma anónima; uno de los cuales parecía haber sido subido por alguien en Israel y otro desde los EE. UU., aunque la compañía de seguridad considera que estas moscas son de un solo usuario que intenta enmascarar su ubicación.
Como uno de los archivos de imagen de disco estaba firmado por un ID de desarrollador de Apple, Long dijo que era evidente que era "la obra de los desarrolladores del adware OSX / Surfbuyer".
Long también notó que, al momento en que se descubrieron las imágenes del disco, el servidor del sistema de archivos de red (NSF) que aloja la aplicación macOS a la que hacen referencia las imágenes ya no estaba en línea. Esto indicaría que todo fue más una prueba de la derivación del controlador de acceso que un ataque malicioso.
Pero Long dijo que no descarta el caso de que todo haya sido malicioso: "Hay una serie de indicadores claros de juego sucio. Las imágenes de disco están disfrazadas de instaladores de Adobe Flash Player, que es uno de los más comunes. maneras en que los creadores de malware engañan a los usuarios de Mac para que instalen malware ".
Intego alertó a Apple de todo el asunto, y el equipo de Tim Cook aparentemente está en proceso de revocar el certificado de desarrollador vinculado a la identificación detrás de las imágenes de disco.
Comprobar si hay Macs infectados en la red de una organización significa verificar las máquinas conectadas a la dirección IP 108.168.175.167 a través de los puertos del sistema de archivos de la red entre el 24 de mayo y el 18 de junio.
"En términos más generales, si sabe que sus usuarios nunca deberían necesitar conectarse a servidores NFS de cara al público, puede buscar indicaciones de conexiones recientes a cualquier dirección IP no privada en puertos NFS, como un medio para potencialmente encontrar otras variaciones de El ataque ", dijo Long.
Para mitigar la posibilidad de un ataque a través del bypass de Gatekeeper, los administradores de red pueden bloquear su red para evitar conexiones poco fiables a servidores NFS con direcciones IP externas, especialmente si no se necesitan dichas conexiones.
"Para los usuarios domésticos, desafortunadamente, no hay una solución simple para prevenir este tipo de ataque, hasta que, a menos que Apple, lance una actualización de seguridad macOS para mitigar la vulnerabilidad", dijo Long, aunque recomendó la mitigación temporal de Cavallarin.
Fecha actualización el 2021-06-26. Fecha publicación el 2019-06-26. Categoría: apple Autor: Oscar olg Mapa del sitio Fuente: theinquirer Version movil