Les cybercriminels exploitent activement une vulnérabilité dans MacOS Mojave, qui vous permet de contourner Gatekeeper, une technologie qui exécute uniquement des logiciels fiables.
Gatekeeper «considère» les médias externes et les ressources de fichiers réseau comme sûrs et permet le lancement sans vérifier la signature des applications à partir de ces ressources.
De plus, deux fonctionnalités de MacOS sont utilisées pour implémenter la vulnérabilité:
- autofs et chemins «/ net / *» - permettent aux utilisateurs de monter automatiquement les ressources de fichiers réseau commençant par «/ net /». Par exemple, lorsque vous répertoriez une ressource NFS: ls /net/evil-resource.net/shared/.
- Les archives zip peuvent contenir des fichiers de liens symboliques, ce qui entraîne un montage automatique lors du déballage de l'archive sur le système cible.
Ainsi, le scénario d'attaque suivant peut être utilisé pour contourner Gatekeeper.
L'attaquant crée une archive zip avec un lien symbolique vers la ressource qu'il contrôle et l'envoie à la victime. La victime déballe l'archive, ce qui conduit au montage et à l'ajout de la ressource "de confiance" de l'attaquant. La ressource surveillée héberge l'application * .app, qui, sous les paramètres standard des fichiers du gestionnaire de fichiers, se reflète comme un répertoire local ou un autre objet inoffensif. Dans ce cas, l'extension .app est masquée et le chemin d'accès complet à la ressource n'est pas affiché.
Un exemple d'exploitation d'une vulnérabilité:
Les détails ont été publiés il y a un
mois , ce qui a permis aux attaquants de créer des logiciels malveillants et de les exploiter activement.
Les utilisateurs de MacOS doivent s'abstenir d'installer des applications ou de télécharger des fichiers à partir de sources douteuses.