Выпущен PoC-код для эксплуатации уязвимости обхода технологии Gatekeeper в macOS

Выпущен PoC-код для эксплуатации уязвимости обхода технологии Gatekeeper в macOS

Эксплуатация проблемы позволяет обойти средства защиты от загрузки вредоносных файлов в macOS.

image

Исследователь в области кибербезопасности Расмус Стен (Rasmus Sten) из компании F-Secure опубликовал PoC-код для эксплуатации уязвимости ( CVE-2021-1810 ), позволяющей обойти все три средства защиты от загрузки вредоносных файлов в macOS — карантина файлов, Gatekeeper и нотариального заверения.

Проблема была обнаружена в компоненте утилиты архивирования в версиях macOS Big Sur и Catalina и ее можно использовать с помощью специально созданного ZIP-файла. Для успешной эксплуатации уязвимости злоумышленник должен обманом заставить пользователя загрузить и открыть архив для выполнения вредоносного кода внутри.

В случае успешной атаки преступник может выполнять неподписанные двоичные файлы на устройствах под управлением macOS, даже если Gatekeeper применяет подписи кода и без предупреждения пользователя.

Уязвимость связана с тем, как утилита архивирования обрабатывает пути к файлам. В частности, для путей длиной более 886 символов расширенный атрибут com.apple.quarantine больше не применяется, что приводит к обходу Gatekeeper для файлов.

Как пояснил эксперт, можно создать архив с иерархической структурой, для которой длина пути будет достаточно длинной, чтобы Safari вызывал утилиту архивирования для его распаковки и утилита архивирования не применяла атрибут com.apple.quarantine, но достаточно короткой для просмотра с помощью Finder.

Уязвимость была устранена с выпуском версии macOS Big Sur 11.3 и обновления безопасности 2021-002 для Catalina.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!