Киберпреступники активно эксплуатируют уязвимость в MacOS Mojave, которая позволяет обойти Gatekeeper — технологию, обеспечивающую запуск только доверенного программного обеспечения.
Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.
Также для реализации уязвимости используются две особенности MacOS:
- autofs и пути “/net/*” — позволяют пользователям автоматически монтировать сетевые файловые ресурсы, начинающиеся с “/net/”. Например, при листинге NFS-ресурса: ls /net/evil-resource.net/shared/.
- zip-архивы могут содержать файлы символических ссылок, которые приводят к автомонтированию при распаковке архива на целевой системе.
Таким образом, для обхода Gatekeeper может использоваться следующий сценарий атаки.
Атакующий создает zip-архив с символической ссылкой на контролируемый им ресурс и отправляет жертве. Жертва распаковывает архив, что приводит к монтированию и добавлению в «доверенные» ресурса злоумышленника. На контролируемом ресурсе размещается приложение *.app, которое при стандартных настройках файлового менеджера Files отражается как локальная директория или иной безобидный объект. При этом расширение .app скрыто и полный путь к ресурсу не отображается.
Пример эксплуатации уязвимости:
Детали были опубликованы еще месяц назад, что позволило злоумышленникам создать вредоносное ПО и активно его эксплуатировать.
Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.
Комментарии (17)
digger3d
27.06.2019 10:41>Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.
(с) Капитан очевидность :)
AndreyYu: Очень часто люди не осознают что делают…
w0den
27.06.2019 23:20Пользователям
// fixedMacOSстоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.
Focushift
27.06.2019 11:57+2Gatekeeper «считает» внешние носители и сетевые файловые ресурсы безопасными и разрешает запуск без проверки подписи любых приложений с указанных ресурсов.
Это как? Кто до такого додумался?
И эта система преподносится как лучшая и тп?
0xcffaedfe
27.06.2019 15:37Там скорее все-го не совсем так, насколько помню работа gatekeeper связана с
«quarantine flag». Его сносят руками что-бы запускать не подписанные приложения, либо с повреждённой (заменённой) подписью.
Intenditore
28.06.2019 00:10+4Качество последних макосей стало удручающе низким. Удивительная способность спустить на*** всю репутацию системы, заработанную за долгие годы. Никакой стабильности и скорости не осталось, Mojave просто вымораживает некоторыми вещами. Телеграм разворачивается на всё окно в формате слайдшоу, плеер на ютубе в Firefox тормозит видео при проявлении контролов, просто стоит пошевелить мышкой — лови фриз.
А то как они обходятся с поддержкой софта? Дрова nvidia уже второй год недоступны даже для ноутов, на которых стоят их карты! Программы трёхлетней давности уже не поддерживаются, видите-ли, «устарели». А поставишь старую нормальную макось — уже её не поддерживает почти ни одна новая софтина. Я просто вне себя от того что они делают!
Это просто катастрофа.Vitalley
28.06.2019 00:54-1Хотят сделать закрытую экосистему по типу ипхонов. Но по мне это только приведёт к упадку.
Intenditore
28.06.2019 00:59Мне кажется, это уже происходит. Например, очень и очень многие работники CG просто перешли на PC потому что Nvidia, единственное пока подходящее решение для GPU-рендера, уже более года не поддерживается. Причина — Apple не подписывает драйверы! То есть драйверы-то готовы, а они их не подписывают. Это уже вредительство.
И таких моментов стало непозволительно много. Я был фанатом Apple, но я уже почти готов поставить на свой макбук винду. Это о чём-то да говорит
lieff
28.06.2019 00:57У меня такой экспириенс с самого начала пользования (чуть позже как перешли на интел).
Ощущение старой freebsd с красивой надстройкой, которую чуть тронь — рушится.
Например lsof -K не поддерживается (как и большинство утилит показывающие треды), нормально работает с тредами только xcode. Половина опций mount тоже не поддерживается.
Все базовые пакеты древние, выручает только brew и macports, многие пакеты там с глюками.
Драйвера nvidia глючные, мне самому приходилось в шейдеры вставлять #ifdef APPLE. Справедливости ради они и под виндой и линем глючные, их считай только сейчас более менее обкатали благодаря гитхабу dxvk, и тому, что там разработчики дров тусуются. Раньше просто не было места где плакаться, я пилил посты на их форум, но там глухо. Но на маке субъективно ситуация хуже всего, и усугубляется тем, что нету Vulkan, а MoltenVK пока многое не поддерживает.
Так же я как-то зарегал apple id без кредитки (надо было только бесплатный xcode поставить, больше ничего) — так мне его заблокировали почти сразу без объяснения причин.
Быстрое устаревание я замечал и тогда, так же как и под ios. Там по работе со звуком например, от версии к версии много чего менялось без обратной совместимости и надо было обновлять.
В общем, более тяжелой платформой был только WP8, лично для меня.
corvair
28.06.2019 08:03Видимо, сейчас больше ориентируются на казуальный рынок, как более прибыльный.
karavan_750
28.06.2019 01:19Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.
Большинству пользователей PC полезнее был бы совет: «Ничего не трогайте, ждите фикса!»
Т.к. то самое большинство кредит доверия предоставляет ресурсу/объекту на основании реакции софта/ОС: вкладка в браузере закрывается только если оный красным «проорал» на весь экран; архив не распаковывается только по причине его удаления антивирусником и т.д.
Не испытывают они сомнений, совсем.
kunix
28.06.2019 09:24Пользователям MacOS стоит воздержаться от распаковки zip-архивов!
Пользователям Windows стоит отказаться от распаковки архивов через WinRAR!
Куда катится этот мир??
AndreyYu
Неужели люди настолько не внимательны, что не видят ярлык в архиве?
Shumilin
Дело в том, что все бесплатные менеджеры архивов в MacOS по двойному клику не предоставляют интерфейс с содержимым, а сразу распаковывают архив рядом или куда укажет пользователь :/
AndreyYu
Хорошее замечание, кстати. Надо посмотреть что у меня будет. Давно forkliftом открываю и через betterzip