Cyberkriminelle nutzen aktiv eine Sicherheitsanfälligkeit in MacOS Mojave aus, mit der Sie Gatekeeper umgehen können, eine Technologie, auf der nur vertrauenswürdige Software ausgeführt wird.
Gatekeeper „betrachtet“ externe Medien- und Netzwerkdateiressourcen als sicher und ermöglicht das Starten, ohne die Signatur von Anwendungen aus diesen Ressourcen zu überprüfen.
Außerdem werden zwei Funktionen von MacOS verwendet, um die Sicherheitsanfälligkeit zu implementieren:
- Autofs und Pfade "/ net / *" - Ermöglicht Benutzern das automatische Mounten von Netzwerkdateifreigaben, beginnend mit "/ net /". Zum Beispiel beim Auflisten einer NFS-Ressource: ls /net/evil-resource.net/shared/.
- Zip-Archive können symbolische Link-Dateien enthalten, die beim Entpacken des Archivs auf dem Zielsystem zu einer automatischen Bereitstellung führen.
Daher kann das folgende Angriffsszenario verwendet werden, um Gatekeeper zu umgehen.
Der Angreifer erstellt ein Zip-Archiv mit einem symbolischen Link zu der von ihm kontrollierten Ressource und sendet es an das Opfer. Das Opfer entpackt das Archiv, was dazu führt, dass die "vertrauenswürdige" Ressource des Angreifers bereitgestellt und erweitert wird. Die überwachte Ressource hostet die Anwendung * .app, die unter den Standardeinstellungen des Dateimanagers für Dateien als lokales Verzeichnis oder anderes harmloses Objekt angezeigt wird. In diesem Fall ist die Erweiterung .app ausgeblendet und der vollständige Pfad zur Ressource wird nicht angezeigt.
Ein Beispiel für die Ausnutzung einer Sicherheitsanfälligkeit:
Vor einem
Monat wurden Details veröffentlicht, die es Angreifern ermöglichten, Malware zu erstellen und diese aktiv auszunutzen.
MacOS-Benutzer sollten keine Anwendungen installieren oder Dateien aus zweifelhaften Quellen herunterladen.