新的Mac恶意软件利用了苹果未修补的GateKeeper绕过漏洞

Intego的网络安全研究人员警告称，苹果macOS Gatekeeper安全功能详细信息和PoC中未修补的安全漏洞可能会被主动利用，该漏洞已于上月晚些时候公开披露。

然而，新发现的恶意软件OSX/链接器目前尚未在野外见到，似乎正在开发中。尽管这些示例利用了未修补的Gatekeeper绕过漏洞，但它不会从攻击者的服务器下载任何恶意应用。

据Intego的Joshua Long称，直到上周，“恶意软件制造商只是在进行一些检测和侦察”。
Long在一篇博客文章中说：“其中一个文件是用苹果开发者ID签名的（如下所述），很明显，OSX/Linker磁盘映像是OSX/Surfbuyer广告软件开发者的手工作品”。

然而，由于恶意软件样本链接到远程服务器，从该服务器下载不受信任的应用程序，攻击者也可以通过在其服务器上用恶意软件应用程序替换定义的样本应用程序，将相同的样本分发给real targeted。

macOS网守绕过漏洞

GateKeeper是Apple macOS中内置的一种安全功能，它在允许下载的应用程序运行之前执行代码签名并验证下载的应用程序，帮助用户保护其系统免受恶意软件和其他恶意软件的攻击。
这意味着，如果你从互联网下载一个应用程序，GateKeeper将只允许它在没有任何警告的情况下执行，如果它已经用苹果颁发的有效证书签名，否则将提示你允许或拒绝执行。

然而，Gatekeeper的设计目的是将外部驱动器（USB或HDD）和网络共享视为“安全位置”，用户可以在这里运行任何应用程序，而无需Gatekeeper的检查和提示。
独立安全研究员菲利波·卡瓦拉林（Filippo Cavallarin）上月末公开透露了一种利用这种行为的方法，将其与macOS操作系统的其他两个合法功能结合起来，这两个功能是：

• zip存档文件可以包含指向任意位置的符号链接，包括自动装载端点，以及
• macOS上的自动装载功能可以通过“特殊”路径（即以“/net/”开头）访问远程服务器自动装载网络共享

“例如，ls/net/evil-attacker.com/sharedfolder/将使操作系统使用NFS读取远程主机（evil-attacker.com）上的‘sharedfolder’内容，”卡瓦拉林在一篇博客文章中解释道。

如视频演示所示，Cavallarin创建了一个ZIP文件，其中有一个指向攻击者控制的网络共享的符号链接，macOS将自动装载该文件。

一旦受害者打开ZIP存档并遵循链接，他将导航到由攻击者控制的、受Gatekeeper信任的网络共享，诱使受害者在没有任何警告的情况下运行恶意可执行文件。

研究人员说：“way Finder的设计（比如hide.app extensions，从标题栏隐藏完整路径）使这项技术非常有效且难以发现”。

然而，新发现的恶意软件样本不是ZIP文件，而是磁盘映像文件（带有.dmg），表明“恶意软件制造商正在试验卡瓦拉林的漏洞是否也适用于磁盘映像”。

卡瓦拉林在2月22日向苹果负责地报告了他的调查结果，但在苹果未能在90天的披露期限内解决问题并开始忽略他的电子邮件后，他决定在上个月晚些时候公开。

在苹果解决这个问题之前，研究人员建议网络管理员阻止NFS与外部IP地址的通信，对于家庭用户来说，不要打开来自未知、可疑或不可信来源的电子邮件附件总是很重要的。