Инфосистемы Джет corporate blog
Information Security
27 June

Критическая уязвимость MacOS Mojave активно эксплуатируется злоумышленниками

image

Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения.

Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.

Также для реализации уязвимости используются две особенности MacOS:

  1. autofs и пути “/net/*” — позволяют пользователям автоматически монтировать сетевые файловые ресурсы, начинающиеся с “/net/”. Например, при листинге NFS-ресурса: ls /net/evil-resource.net/shared/.
  2. zip-архивы могут содержать файлы символических ссылок, которые приводят к автомонтированию при распаковке архива на целевой системе.

Таким образом, для обхода Gatekeeper может использоваться следующий сценарий атаки.

Атакующий создает zip-архив с символической ссылкой на контролируемый им ресурс и отправляет жертве. Жертва распаковывает архив, что приводит к монтированию и добавлению в «доверенные» ресурса злоумышленника. На контролируемом ресурсе размещается приложение *.app, которое при стандартных настройках файлового менеджера Files отражается как локальная директория или иной безобидный объект. При этом расширение .app скрыто и полный путь к ресурсу не отображается.

Пример эксплуатации уязвимости:


Детали были опубликованы еще месяц назад, что позволило злоумышленникам создать вредоносное ПО и активно его эксплуатировать.



Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.

+40
14.9k 26
Comments 23