بهره‌برداری بدافزار جدید macOS از اشکال وصله‌نشده‌ی دور زدن Gatekeeper اپل

پژوهش‌گران امنیت سایبری Intego درباره‌ی جزئیات بهره‌برداری فعال از یک آسیب‌پذیری امنیتی وصله‌نشده در ويژگی امنیتی Gatekeeper موجود در macOS اپل و اثبات مفهومی آن که در اواخر ماه گذشته منتشر شد، هشدار می‌دهند. Intego چهار نمونه از بدافزار جدید macOS را در VirusTotal کشف کرده است که از آسیب‌پذیری دور زدن Gatekeeper برای اجرای کد غیر قابل اطمینان در macOS بدون نمایش هشدار برای کاربر و یا درخواست مجوز از او استفاده می‌کند.

بااین‌حال، بدافزاری که به‌تازگی کشف شده است، OSX/Linker نام دارد که تاکنون مشاهده نشده و به نظر می‌رسد که درحال توسعه است. اگرچه این نمونه‌ها از آسیب‌پذیری وصله‌نشده‌ی دور زدن Gatekeeper استفاده می‌کنند، اما هیچ برنامه‌ی مخربی را از سرور مهاجم بارگیری نمی‌کنند. به‌گفته‌ی یکی از پژوهش‌گران Intego، این بدافزار تاکنون درحال انجام برخی آزمایش‌های تشخیص بوده است. یکی از فایل‌ها نیز با شناسه‌ی توسعه‌دهنده‌ی اپل امضا شده بود و مشخص است که ایمیج‌های دیسک OSX/Linker کار توسعه‌دهندگان تبلیغ‌افزار OSX/Surfbuyer است.

بااین‌حال از آن‌جاکه این نمونه‌ی بدافزار به یک سرور راه دور مرتبط است که از آن‌جا برنامه‌های غیرقابل اطمینان را دانلود می‌کند، مهاجمان می‌توانند نمونه‌های مشابه را با جایگزینی برنامه‌ی نمونه‌ی تعریف‌شده با یک بدافزار موجود در سرور توزیع کنند. Gatekeeper یک ویژگی امنیتی در macOS اپل است که روش امضای کد را اجرا می‌کند و برنامه‌های د رانلودشده را قبل از این‌که به آن‌ها اجازه‌ی اجرا دهد، تأیید و به کاربران کمک می‌کند تا از سیستم‌های خود در برابر بدافزار و سایر نرم‌افزارهای مخرب محافظت کنند.

درصورتی‌که کاربر یک برنامه را از اینترنت دانلود کند، Gatekeeper تنها در صورتی‌که با یک گواهی‌نامه‌ی معتبر صادرشده توسط اپل امضا شده باشد، به آن اجازه می‌دهد که بدون هیچ هشداری اجرا شود، در غیر این‌صورت کاربر را ترغیب می‌کند تا اجازه‌ی اجرا دهد یا از اجرای آن جلوگیری کند. بااین‌حال Gatekeeper طراحی شده است تا هم با درایوهای خارجی و هم با اشتراک شبکه به‌عنوان «مکان‌های امن» رفتار کند که کاربران می‌توانند از آن‌جا هر برنامه‌ای را بدون بررسی‌های Gatekeeper اجرا کنند.

یک پژوهش‌گر مستقل به نام فیلیپو کاوالارین در اواخر ماه گذشته روشی برای بهره‌برداری از این رفتار با ترکیب آن با دو ویژگی قانونی دیگر سیستم عامل macOS پیدا کرد. یکی از آن‌ها آرشیوهای فشرده هستند که می‌توانند حاوی لینک‌های نمادین برای اشاره به یک مکان دلخواه باشند و دیگری ویژگی automount در macOS است که می‌تواند اشتراک شبکه از یک سرور راه دور را به‌طور خودکار و تنها با دسترسی به آن با یک مسیر خاص mount کند.

کاوالارین یک فایل فشرده با لینک نمادین به یک اشتراک شبکه‌ی تحت کنترل مهاجم ایجاد کرد که macOS به‌طور خودکار آن را mount می‌کند. زمانی‌که یک قربانی این آرشیو فشرده را باز می‌کند و لینک را دنبال می‌کند، به اشتراک شبکه‌ی تحت کنترل مهاجم که مورد اعتماد Gatekeeper است هدایت می‌شود که بدون هیچ هشداری قربانی را به اجرای فایل‌های قابل اجرای مخرب فریب می‌دهد. نمونه‌های بدافزاری که به‌تازگی کشف شده‌اند، فایل‌های فشرده نیستند بلکه فایل‌های ایمیج دیسک هستند که نشان می‌دهد سازندگان بدافزار می‌خواهند آزمایش کنند تا ببینند آیا آسیب‌پذیری کاوالارین با ایمیج‌های دیسک نیز کار می‌کند یا خیر. کاوالارین در ماه فوریه یافته‌های خود را به اپل گزارش داد اما پس از آن‌که اپل نتواسنت این مسأله را در مهلت ۹۰ روزه پس از افشای آن رفع کند و ایمیل‌های او را نادیده گرفت، این آسیب‌پذیری را به‌صورت عمومی افشا کرد. پژوهش‌گران به مدیران شبکه توصیه می‌کنند که تا زمانی‌که اپل این مسأله را رفع نکرده است، ارتباطات NFS با آدرس‌های آی‌پی خارجی را مسدود کنند و کاربران خانگی هیچ‌گاه نباید پیوست‌ ایمیل‌های ارسال‌شده از منابع ناشناس، مشکوک و غیر قابل اطمینان را باز کنند.

منبع

پست‌های مشابه

Leave a Comment