
Descoberta forma de contornar o mecanismo de segurança do macOS
1 Junho, 2019Um pesquisador descobriu uma forma simples de contornar o Gatekeeper, o mecanismo de segurança embutido no macOS, permitindo que ele execute código arbitrário numa máquina de destino.
O método aproveita o facto de o macOS tratar as partilhas de rede e unidades externas como os chamados locais seguros para abrir ficheiros e executar aplicações, e conta com alguns recursos no sistema operativo para funcionar. O pesquisador Filippo Cavallarin desenvolveu o desvio e descobriu que ele era capaz de executar código não confiável numa máquina remota sem qualquer tipo de aviso ou alerta para o utilizador.
O Gatekeeper é um recurso do macOS projectado para impedir que aplicações não confiáveis ou mal-intencionados sejam executadas. Ele verifica a presença de uma assinatura válida em aplicações que os utilizadores tentam descarregar e executar e pode ser configurado para permitir que apenas aplicações da loja oficial de aplicações da Apple sejam executados na máquina. O Gatekeeper faz parte do macOS desde 2012 e faz parte do maior modelo de segurança para Macs, que tem como objectivo proteger os utilizadores, restringindo o tipo de software que pode ser executado e de onde essas aplicações podem vir.
Cavallarin descobriu que, como o Gatekeeper trata unidades externas e partilhas de rede como locais aprovados para abrir aplicações, ele pode criar um ficheiro ZIP especialmente criado com um link para uma partilha de rede que o macOS montará automaticamente. Quando a vítima abre o arquivo ZIP e segue o link, ele está em território que o invasor controla, mas o Gatekeeper confia.
“Conforme o design, o Gatekeeper considera as drives externas e as partilhas de rede como locais seguros e permite que qualquer aplicação que eles contenham seja executado. Combinando este design com duas características legítimas do MacOS X, isso resultará no completo engano do comportamento pretendido ”, disse Cavallarin na sua descrição da técnica .
“Um invasor cria um ficheiro zip contendo um link simbólico para um terminal automático que ele controla (ex Documents -> /net/evil.com/Documents) e o envia para a vítima. A vítima descarrega o ficheiro malicioso, extrai-o e segue o link simbólico. Agora a vítima está num local controlado pelo invasor, mas confiável pelo Gatekeeper, portanto, qualquer executável controlado pelo invasor pode ser executado sem qualquer aviso. A forma como o Finder é projetado (ex. Ocultar as extensões .app, ocultar o caminho completo da barra de títulos) torna essa técnica muito eficaz e difícil de detectar. ”
Um link simbólico é um ficheiro especial que tem um caminho directo para outro arquivo ou diretório, e Cavallarin disse que combinar o uso de links simbólicos num arquivo ZIP com a maneira que o macOS lida com automontagens e partilhas seria um vector de ataque bastante efectivo. Ele notificou a Apple sobre esta questão, em Fevereiro, e disse que a empresa respondeu que estava a rastrear para corrigir o problema numa actualização de Maio. No entanto, Cavallarin disse que os representantes da Apple deixaram de responder aos e-mails logo após a notificação inicial e que uma correcção não estava na actualização de segurança de Maio para o macOS.
“A primeira vez que a Apple me respondeu, eles pediram-me uma prova de conceito. Enviei-lhes todas as informações para reproduzir o problema. Depois de alguns dias, eles responderam que estavam a rastrear esse problema com uma divulgação de 15 de Maio de 2019 e pediram-me para mantê-lo privado até que resolvessem”, disse Cavallarin por e-mail.
O ataque que Cavallarin desenvolveu pode ser particularmente perigoso, porque muitas pessoas não veem os ficheiros ZIP como ameaças em potencial.
“Eu acredito que é um problema muito sério para os utilizadores, já que é muito comum acreditar que apenas abrir um zip não é perigoso. Normalmente as pessoas estão com medo de abrir pdfs, doc / xls, mas eles sentem-se seguros a abrir apenas pastas (com os zip padrão de configuração são extraídos automaticamente após o download), ” disse ele.

Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.