Los ciberdelincuentes están explotando activamente una vulnerabilidad en MacOS Mojave, que le permite evitar Gatekeeper, una tecnología que solo ejecuta software confiable.
Gatekeeper "considera" los medios externos y los recursos de archivos de red como seguros y permite el inicio sin verificar la firma de ninguna aplicación de estos recursos.
Además, se utilizan dos características de MacOS para implementar la vulnerabilidad:
- autofs y rutas "/ net / *": permiten a los usuarios montar automáticamente archivos compartidos de red que comienzan con "/ net /". Por ejemplo, al enumerar un recurso NFS: ls /net/evil-resource.net/shared/.
- los archivos zip pueden contener archivos de enlaces simbólicos, que conducen al montaje automático al desempaquetar el archivo en el sistema de destino.
Por lo tanto, el siguiente escenario de ataque se puede utilizar para evitar Gatekeeper.
El atacante crea un archivo zip con un enlace simbólico al recurso que controla y lo envía a la víctima. La víctima desempaqueta el archivo, lo que lleva a montar y agregar al recurso "de confianza" del atacante. El recurso supervisado aloja la aplicación * .app, que, según la configuración estándar del administrador de archivos, se refleja como un directorio local u otro objeto inofensivo. En este caso, la extensión .app está oculta y no se muestra la ruta completa al recurso.
Un ejemplo de explotación de una vulnerabilidad:
Los detalles se publicaron hace un
mes , lo que permitió a los atacantes crear malware y explotarlo activamente.
Los usuarios de MacOS deben abstenerse de instalar aplicaciones o descargar archivos de fuentes dudosas.