Una vulnerabilità senza patch in macOS Mojave consente agli aggressori di eludere completamente la funzionalità di sicurezza di Gatekeeper. Apple è stata informata per la prima volta del difetto il 22 febbraio, ma l'aggiornamento macOS 10.14.5 della scorsa settimana non ha risolto la vulnerabilità, anche se avrebbe dovuto.
Gatekeeper è una funzione di sicurezza di macOS che impone la firma del codice e verifica le app scaricate prima di aprirle, riducendo la probabilità di eseguire inavvertitamente malware.
Secondo il ricercatore di sicurezza Filippo Cavallarin che ha scoperto e segnalato questa svista di sicurezza in macOS ad Apple, tramite AppleInsider, un'app canaglia sfrutterà il fatto che Gatekeeper considera sia le unità esterne sia le condivisioni di rete come "luoghi sicuri". Di conseguenza, qualsiasi app eseguita da queste posizioni verrà eseguito senza l'intervento di Gatekeeper.
Ecco un video che mostra la prova di concetto in azione.
Combinando questo design di Gatekeeper con un paio di funzionalità legittime in macOS, una festa canaglia potrebbe completamente alterare il comportamento previsto di Gatekeeper, il ricercatore ha avvertito.
Ok, quali sono le due caratteristiche legittime?
La prima funzione legittima è automount (noto anche come autofs) che consente di montare automaticamente una condivisione di rete accedendo a un percorso speciale, in questo caso, qualsiasi percorso che inizia con '/ net /'. La seconda caratteristica legittima è che gli archivi ZIP possono contenere collegamenti simbolici che puntano a una posizione arbitraria (compresi gli endpoint "automount") e che l'archiviatore di macOS non esegue alcun controllo sui collegamenti simbolici prima di crearli.
Che ne dici di un esempio illustrativo di come funziona effettivamente questo exploit?
Consideriamo il seguente scenario: un utente malintenzionato crea un file ZIP contenente un collegamento simbolico a un endpoint di montaggio automatico che controlla (ad esempio, Documenti -> /net/evil.com/Documents) e lo invia alla vittima. La vittima scarica l'archivio dannoso, lo estrae e segue il collegamento simbolico.
Questo è terribile, la maggior parte delle persone non riesce a distinguere i collegamenti simbolici dai file reali.
Ora la vittima si trova in una posizione controllata dall'attaccante ma fidata da Gatekeeper, quindi qualsiasi eseguibile controllato dall'attaccante può essere eseguito senza alcun preavviso. Il modo in cui il Finder è progettato per nascondere le estensioni delle app e il percorso completo del file nelle barre del titolo della finestra rende questa tecnica molto efficace e difficile da individuare.
Cavallarin afferma che Apple ha smesso di rispondere alle sue e-mail dopo essere stato avvisato del problema il 22 febbraio 2019. "Dato che Apple è a conoscenza del mio termine di divulgazione di 90 giorni, rendo pubbliche queste informazioni", ha scritto sul suo blog.
Nessuna correzione è ancora disponibile.
Apple colpirà quasi sicuramente questo difetto nel prossimo aggiornamento. Fino ad allora, una possibile soluzione alternativa è disabilitare la funzione di "montaggio automatico" in base alle istruzioni fornite nella parte inferiore del post del blog di Cavallarin.
Sei stato interessato da questa vulnerabilità?
In tal caso, vorremmo sentire i tuoi pensieri nei commenti!