پژوهشگران امنیت سایبری Intego دربارهی جزئیات بهرهبرداری فعال از یک آسیبپذیری امنیتی وصلهنشده در ويژگی امنیتی Gatekeeper موجود در macOS اپل و اثبات مفهومی آن که در اواخر ماه گذشته منتشر شد، هشدار میدهند. Intego چهار نمونه از بدافزار جدید macOS را در VirusTotal کشف کرده است که از آسیبپذیری دور زدن Gatekeeper برای اجرای کد غیر قابل اطمینان در macOS بدون نمایش هشدار برای کاربر و یا درخواست مجوز از او استفاده میکند.
بااینحال، بدافزاری که بهتازگی کشف شده است، OSX/Linker نام دارد که تاکنون مشاهده نشده و به نظر میرسد که درحال توسعه است. اگرچه این نمونهها از آسیبپذیری وصلهنشدهی دور زدن Gatekeeper استفاده میکنند، اما هیچ برنامهی مخربی را از سرور مهاجم بارگیری نمیکنند. بهگفتهی یکی از پژوهشگران Intego، این بدافزار تاکنون درحال انجام برخی آزمایشهای تشخیص بوده است. یکی از فایلها نیز با شناسهی توسعهدهندهی اپل امضا شده بود و مشخص است که ایمیجهای دیسک OSX/Linker کار توسعهدهندگان تبلیغافزار OSX/Surfbuyer است.
بااینحال از آنجاکه این نمونهی بدافزار به یک سرور راه دور مرتبط است که از آنجا برنامههای غیرقابل اطمینان را دانلود میکند، مهاجمان میتوانند نمونههای مشابه را با جایگزینی برنامهی نمونهی تعریفشده با یک بدافزار موجود در سرور توزیع کنند. Gatekeeper یک ویژگی امنیتی در macOS اپل است که روش امضای کد را اجرا میکند و برنامههای د رانلودشده را قبل از اینکه به آنها اجازهی اجرا دهد، تأیید و به کاربران کمک میکند تا از سیستمهای خود در برابر بدافزار و سایر نرمافزارهای مخرب محافظت کنند.
درصورتیکه کاربر یک برنامه را از اینترنت دانلود کند، Gatekeeper تنها در صورتیکه با یک گواهینامهی معتبر صادرشده توسط اپل امضا شده باشد، به آن اجازه میدهد که بدون هیچ هشداری اجرا شود، در غیر اینصورت کاربر را ترغیب میکند تا اجازهی اجرا دهد یا از اجرای آن جلوگیری کند. بااینحال Gatekeeper طراحی شده است تا هم با درایوهای خارجی و هم با اشتراک شبکه بهعنوان «مکانهای امن» رفتار کند که کاربران میتوانند از آنجا هر برنامهای را بدون بررسیهای Gatekeeper اجرا کنند.
یک پژوهشگر مستقل به نام فیلیپو کاوالارین در اواخر ماه گذشته روشی برای بهرهبرداری از این رفتار با ترکیب آن با دو ویژگی قانونی دیگر سیستم عامل macOS پیدا کرد. یکی از آنها آرشیوهای فشرده هستند که میتوانند حاوی لینکهای نمادین برای اشاره به یک مکان دلخواه باشند و دیگری ویژگی automount در macOS است که میتواند اشتراک شبکه از یک سرور راه دور را بهطور خودکار و تنها با دسترسی به آن با یک مسیر خاص mount کند.
کاوالارین یک فایل فشرده با لینک نمادین به یک اشتراک شبکهی تحت کنترل مهاجم ایجاد کرد که macOS بهطور خودکار آن را mount میکند. زمانیکه یک قربانی این آرشیو فشرده را باز میکند و لینک را دنبال میکند، به اشتراک شبکهی تحت کنترل مهاجم که مورد اعتماد Gatekeeper است هدایت میشود که بدون هیچ هشداری قربانی را به اجرای فایلهای قابل اجرای مخرب فریب میدهد. نمونههای بدافزاری که بهتازگی کشف شدهاند، فایلهای فشرده نیستند بلکه فایلهای ایمیج دیسک هستند که نشان میدهد سازندگان بدافزار میخواهند آزمایش کنند تا ببینند آیا آسیبپذیری کاوالارین با ایمیجهای دیسک نیز کار میکند یا خیر. کاوالارین در ماه فوریه یافتههای خود را به اپل گزارش داد اما پس از آنکه اپل نتواسنت این مسأله را در مهلت ۹۰ روزه پس از افشای آن رفع کند و ایمیلهای او را نادیده گرفت، این آسیبپذیری را بهصورت عمومی افشا کرد. پژوهشگران به مدیران شبکه توصیه میکنند که تا زمانیکه اپل این مسأله را رفع نکرده است، ارتباطات NFS با آدرسهای آیپی خارجی را مسدود کنند و کاربران خانگی هیچگاه نباید پیوست ایمیلهای ارسالشده از منابع ناشناس، مشکوک و غیر قابل اطمینان را باز کنند.