Pesquisador de segurança detalha vulnerabilidade de gatekeeper no macOS
O pesquisador de segurança Filippo Cavallarin detalhou uma exploração do macOS que permite ignorar o Gatekeeper. A exploração funciona mesmo no macOS Mojave 10.14.5 lançado pela Apple na semana passada.
A exploração permitirá que hackers ou pessoas com intenção maliciosa executem códigos não confiáveis sem exigir permissão do usuário em um Mac.
O Gatekeeper faz parte do macOS desde 2012. Impede automaticamente a execução de aplicativos não assinados e inseguros e solicita permissão explícita do usuário nesses cenários.
A exploração tira proveito das regras do Gatekeeper de considerar unidades externas e compartilhamentos de rede como locais seguros.
Abaixo está um vídeo mostrando como a exploração funciona:
As etapas detalhadas sobre como usar a exploração podem ser encontradas na postagem do blog. Cavallarin também detalhou como a exploração pode ser usada por hackers em seu proveito.
Para entender melhor como essa exploração funciona, vamos considerar o seguinte cenário:
Um invasor cria um arquivo zip contendo um link simbólico para um ponto de extremidade de montagem automática que ele controla (ex Documents -> /net/evil.com/Documents) e o envia à vítima.
A vítima baixa o arquivo malicioso, extrai-o e segue o link simbólico.Agora a vítima está em um local controlado pelo invasor, mas confia no Gatekeeper, portanto, qualquer executável controlado pelo invasor pode ser executado sem nenhum aviso. A maneira como o Finder é projetado (ex. Oculte extensões .app, oculte o caminho completo da barra de título) torna essa técnica muito eficaz e difícil de detectar.
Filippo Cavallarin informou a Apple sobre a exploração em 22 de fevereiro de 2019. A empresa estava inicialmente em contato com Cavallarin e prometeu uma correção até 15 de maio de 2019, ou seja, dentro de 90 dias da exploração relatada. No entanto, a Apple parou de responder ao e-mail mais tarde e o problema permanece parte do macOS 10.14.5 lançado na semana passada. Com o período de 90 dias, Cavallarin foi em frente e detalhou a exploração para o público.
Não há nenhum patch para essa exploração a partir de agora, embora você possa desativar a montagem automática no seu Mac até que a Apple resolva o problema.
