网络犯罪分子正在积极利用MacOS Mojave中的一个漏洞,该漏洞使您可以绕过仅运行受信任软件的Gatekeeper。
Gatekeeper安全地“考虑”外部媒体和网络文件资源,并允许启动而无需从这些资源验证任何应用程序的签名。
另外,MacOS的两个功能用于实现此漏洞:
- autofs和路径“ / net / *”-允许用户自动安装以“ / net /”开头的网络文件共享。 例如,列出NFS资源时:ls /net/evil-resource.net/shared/。
- zip归档文件可以包含符号链接文件,当在目标系统上解压缩归档文件时,这些文件会导致自动挂载。
因此,以下攻击情形可用于绕过Gatekeeper。
攻击者会创建一个zip存档,其中包含指向他控制的资源的符号链接,并将其发送给受害者。 受害者解压缩了归档文件,这导致装入并添加到攻击者的“受信任”资源中。 受监视的资源托管* .app应用程序,在文件文件管理器的标准设置下,该应用程序反映为本地目录或其他无害的对象。 在这种情况下,.app扩展名将隐藏,并且不会显示资源的完整路径。
利用漏洞的示例:
详细信息在
一个月前发布,使攻击者能够创建恶意软件并积极利用它。
MacOS用户应避免安装应用程序或从可疑来源下载文件。