[MacOS] Malware mới có thể bypass tính năng bảo mật GateKeeper mà Apple chưa kịp vá


Các nhà nghiên cứu an ninh mạng từ Intego đang cảnh báo về khả năng khai thác mạnh mẽ một lỗ hổng bảo mật chưa được vá, có khả năng bypass tính năng bảo mật Gatekeeper trên macOS của Apple. Các nhà nghiên cứu cũng đồng thời công bố PoC về lỗ hổng vào cuối tháng trước.



Nhóm Intego tuần trước đã phát hiện ra bốn mẫu phần mềm độc hại macOS mới trên VirusTotal, tận dụng lỗ hổng bypass GateKeeper để thực thi untrusted code trên macOS mà không hiển thị bất kỳ cảnh báo hay xin phép nào cho người dùng.



Chưa phát hiện malware khai thác lỗ hổng trong tự nhiên



Tuy nhiên, cho tới nay vẫn chưa phát hiện phần mềm độc hại mới mang tên OSX/Linker này trong thực tế. Nhiều khả năng malware này đang trong quá trình được phát triển. Mặc dù các mẫu được phát hiện mới đây tận dụng lỗ hổng Gatekeeper chưa được vá, tuy nhiên vẫn chưa thấy các hoạt động tải xuống ứng dụng độc hại nào từ máy chủ của kẻ tấn công.



Nhà nghiên cứu Joshua Long từ Intego cho biết cho đến tuần
trước thì nhà sản xuất malware vẫn đang chỉ đơn thuần tiến hành một số hoạt động
do thám thử nghiệm.



Chia sẻ trong một bài đăng blog, nhà nghiên cứu cho biết một
trong các tệp đã được ký với ID nhà phát triển của Apple (như được giải thích
bên dưới), rõ ràng là hình ảnh đĩa OSX / Linker là sản phẩm của các nhà phát
triển adware OSX / Surfbuyer.



Tuy nhiên, do mẫu malware liên kết với máy chủ từ xa nơi tải
xuống ứng dụng không tin cậy, kẻ tấn công cũng có thể phân phối các mẫu tương tự
đến mục tiêu thực chỉ bằng cách thay thế ứng dụng mẫu được xác định bằng ứng dụng
malware trên máy chủ của chúng.




Lỗ hổng bypass Gatekeeper trong macOS



GateKeeper là một tính năng bảo mật được tích hợp trong
macOS của Apple, thực thi việc ký mã và xác minh các ứng dụng đã tải xuống trước
khi cho phép chúng khởi chạy và cài đặt trên thiết bị, nhằm giúp người dùng bảo
vệ hệ thống khỏi các malware và các phần mềm độc hại khác.  



Điều đó có nghĩa là, nếu bạn tải xuống một ứng dụng từ
Internet, GateKeeper sẽ chỉ cho phép ứng dụng thực thi mà không có bất kỳ cảnh
báo nào nếu ứng dụng đã được ký với chứng chỉ do Apple cấp hợp lệ. Nếu không Gatekeeper
sẽ nhắc  người dùng để cho phép hoặc từ
chối thực thi ứng dụng.






PoC mô phỏng khai thác lỗ hổng bypass GateKeeper trên macOS Tuy nhiên, Gatekeeper đã được thiết kế để coi cả ổ đĩa ngoài
(USB hoặc ổ cứng) và network shares (chia sẻ mạng) là “các vị trí an
toàn”, do đó người dùng có thể chạy bất kỳ ứng dụng nào mà không cần liên
quan đến kiểm tra và nhắc nhở của GateKeeper.



Nhà nghiên cứu bảo mật độc lập Filippo Cavallarin cuối tháng trước đã công khai tiết lộ một cách thức để khai thác lỗ hổng này bằng cách kết hợp nó với hai tính năng hợp pháp khác của hệ điều hành macOS, đó là:




zip archives có thể chứa các liên kết tượng trưng chỉ đến một vị trí tùy ý, bao gồm các điểm cuối tự động và
tính năng automount trên macOS có thể tự động mount chia sẻ mạng (network share) từ một máy chủ từ xa chỉ bằng cách truy cập với một đường dẫn “đặc biệt”, bắt đầu bằng “/ net /.”

Ví dụ: ls /net/evil-attacker.com/ Sharedfolder / sẽ khiến
HĐH đọc nội dung của ‘sharedfolder’ trên máy chủ từ xa (evil-attacker.com) bằng
NFS.



Cách thức kẻ tấn công có thể khai thác lỗ hổng bypass GateKeeper



Như được trình bày trong video mô phỏng, Cavallarin đã tạo một
tệp ZIP có liên kết tượng trưng đến chia sẻ mạng do kẻ tấn công kiểm soát mà
macOS sẽ automount.



Khi một nạn nhân mở file ZIP archive và follow liên kết, Cavallarin
sẽ điều hướng đến chia sẻ mạng do kẻ tấn công kiểm soát mà Gatekeeper tin tưởng,
lừa nạn nhân chạy các tệp thực thi độc hại mà không có bất kỳ cảnh báo nào.



Tuy nhiên, các mẫu malware mới được phát hiện không còn dưới
dạng tệp ZIP, mà là tệp disk image (với .dmg), cho thấy những kẻ sản xuất
malware đang trong quá trình thử nghiệm xem liệu lỗ hổng do Cavallarin phát hiện
có hoạt động với disk image hay không.



Cavallarin đã báo cáo phát hiện của mình cho Apple vào ngày
22 tháng 2 nhưng đã quyết định công khai lỗ hổng vào cuối tháng trước sau khi phía
công ty không khắc phục được vấn đề trong thời hạn 90 ngày kể từ khi được thông
báo, đồng thời “lờ” đi những Email từ nhà nghiên cứu.  



Cho đến khi Apple khắc phục vấn đề này, Cavallarin khuyên các quản trị viên mạng nên chặn các kết nối NFS với các địa chỉ IP bên ngoài. Đối với những người dùng gia đình, thì cần lưu ý là tuyệt đối không mở các tệp đính kèm email từ một nguồn không xác định, đáng ngờ hoặc không đáng tin cậy.



THN
The post [MacOS] Malware mới có thể bypass tính năng bảo mật GateKeeper mà Apple chưa kịp vá appeared first on SecurityDaily .

Top News