Kerentanan yang belum ditambal di macOS Mojave memungkinkan penyerang untuk sepenuhnya memotong fitur keamanan Gatekeeper. Apple pertama kali diberitahu tentang cacat pada 22 Februari, tetapi pembaruan macOS 10.14.5 minggu lalu belum memperbaiki kerentanan meskipun seharusnya.
Gatekeeper adalah fitur keamanan macOS yang memberlakukan penandatanganan kode dan memverifikasi aplikasi yang diunduh sebelum Anda membukanya, yang mengurangi kemungkinan mengeksekusi malware secara tidak sengaja.
Menurut peneliti keamanan Filippo Cavallarin yang menemukan dan melaporkan pengawasan keamanan ini di macOS ke Apple, melalui AppleInsider, aplikasi jahat akan mengeksploitasi fakta bahwa Gatekeeper menganggap drive eksternal dan jaringan berbagi sebagai "lokasi aman." Akibatnya, aplikasi apa pun dijalankan dari lokasi ini akan berjalan tanpa campur tangan Gatekeeper.
Berikut adalah video yang menunjukkan bukti konsep sedang beraksi.
Dengan menggabungkan desain Gatekeeper ini dengan sepasang fitur yang sah dalam macOS, pihak yang nakal dapat sepenuhnya mengubah perilaku yang dimaksud Gatekeeper, peneliti mengingatkan.
Oke, apa saja dua fitur yang sah?
Fitur legit pertama adalah automount (juga dikenal sebagai autofs) yang memungkinkan Anda secara otomatis me-mount share jaringan dengan mengakses jalur khusus-dalam hal ini, jalur apa pun yang dimulai dengan '/ net /'. Fitur kedua yang sah adalah bahwa arsip ZIP dapat berisi tautan simbolis yang menunjuk ke lokasi arbitrer (termasuk titik akhir 'automount') dan bahwa pengurai arsip macOS tidak melakukan pemeriksaan pada symlink sebelum membuatnya..
Bagaimana dengan beberapa contoh ilustratif tentang bagaimana exploit ini sebenarnya bekerja?
Mari kita pertimbangkan skenario berikut: penyerang membuat file ZIP yang berisi tautan simbolis ke titik akhir automount yang mereka kontrol (misalnya, Dokumen -> /net/evil.com/Documents) dan mengirimkannya ke korban. Korban mengunduh arsip jahat, mengekstraknya dan mengikuti symlink.
Ini mengerikan, kebanyakan orang tidak dapat membedakan symlink dari file nyata.
Sekarang korban berada di lokasi yang dikontrol oleh penyerang tetapi dipercaya oleh Gatekeeper, sehingga setiap eksekusi yang dikendalikan penyerang dapat berjalan tanpa peringatan. Cara Finder dirancang untuk menyembunyikan ekstensi aplikasi dan lintasan file lengkap di tajuk jendela membuat teknik ini sangat efektif dan sulit dikenali.
Cavallarin mengatakan Apple berhenti merespons email-emailnya setelah diberitahu tentang masalah tersebut pada 22 Februari 2019. "Karena Apple mengetahui tenggat waktu pengungkapan 90 hari saya, saya menjadikan informasi ini publik," tulisnya di blog-nya..
Belum ada perbaikan yang tersedia.
Apple hampir pasti akan mengatasi kekurangan ini di pembaruan berikutnya. Sampai saat itu, solusi yang mungkin adalah untuk menonaktifkan fitur "automount" sesuai dengan instruksi yang disediakan di bagian bawah posting blog Cavallarin.
Pernahkah Anda terpengaruh oleh kerentanan ini?
Jika demikian, kami ingin mendengar pendapat Anda dalam komentar!