Os cibercriminosos estão explorando ativamente uma vulnerabilidade no MacOS Mojave, que permite ignorar o Gatekeeper, uma tecnologia que executa apenas software confiável.
O Gatekeeper “considera” meios de mídia externos e recursos de arquivos de rede como seguros e permite o lançamento sem verificar a assinatura de qualquer aplicativo desses recursos.
Além disso, dois recursos do MacOS são usados para implementar a vulnerabilidade:
- autofs e caminhos “/ net / *” - permitem que os usuários montem automaticamente recursos de arquivos de rede começando com “/ net /”. Por exemplo, ao listar um recurso NFS: ls /net/evil-resource.net/shared/.
- Os arquivos zip podem conter arquivos de link simbólico, que levam à montagem automática ao descompactar o arquivo no sistema de destino.
Portanto, o seguinte cenário de ataque pode ser usado para ignorar o Gatekeeper.
O atacante cria um arquivo zip com um link simbólico para o recurso que ele controla e o envia à vítima. A vítima descompacta o arquivo, o que leva à montagem e adição ao recurso "confiável" do invasor. O recurso monitorado hospeda o aplicativo * .app, que, nas configurações padrão dos Arquivos do gerenciador de arquivos, é refletido como um diretório local ou outro objeto inofensivo. Nesse caso, a extensão .app está oculta e o caminho completo para o recurso não é exibido.
Um exemplo de exploração de uma vulnerabilidade:
Os detalhes foram publicados
há um
mês , permitindo que os invasores criem malware e o explorem ativamente.
Os usuários do MacOS devem abster-se de instalar aplicativos ou baixar arquivos de fontes duvidosas.