macOS Gatekeeper Bypass ranjivost

AUTOR ·

Nedavno otkriće sigurnosnihi straživača Unit 42 skrenulo je pažnju na značajno bezbjednosno pitanje poznato kao “Gatekeeper Bypass” u operativnom sistemu macOS. Ova ranjivost nastaje zbog određenih uslužnih programa i aplikacija nezavisnih proizvođača koji se odnose na arhiviranje, virtuelizaciju kao i Apple izvorne alate komandne linije koji se ne pridržavaju sprovođenja atributa karantina.

Gatekeeper Bypass

macOS Gatekeeper Bypass ranjivost; Source: Bing Image Creator

GATEKEEPER BYPASS

Gatekeeper služi kao ključni sigurnosni mehanizam za macOS, osiguravajući da se na platformi izvršavaju samo pouzdane aplikacije. Kada korisnici preuzimaju softver iz izvora koji nisu Apple App Store, Gatekeeper mehanizam pažljivo predpregleda ove datoteke da bi potvrdio njihovu autentičnost i osigurao da nisu zlonamjerne ili neovlaštene.

Jedna od ključnih komponenti ovog bezbjednosnog mehanizam je atribut karantina metapodataka koji pretraživači dodaju novopreuzetim datotekama. Ovaj atribut pokreće Gatekeeper mehanizam da ispita i potvrdi binarnu datoteku pre nego što dozvoli njeno izvršenje, čime se štiti od potencijalnih prijetnji. Međutim, ovaj pristup dizajnu stavlja značajan naglasak na usklađenost programera trećih strana sa svojim strogim bezbjednosnim standardima kompanije Apple.

Kompanija Apple pretpostavlja da će programeri poštovati njihove bezbjednosne smjernice u vezi sa proširenim nasljeđivanjem atributa kako bi osigurali pravilno funkcionisanje ovog mehanizma skeniranja. Međutim, zbog neusaglašenosti u nekim slučajevima, ovo može imati slabosti unutar Gatekeeper mehanizma i zaobići ga. Zaobilaženjem ovog mehanizma, korisnici mogu biti izloženi rizičnim aplikacijama koje mogu da izvrše zlonamjerni sadržaj, potencijalno ugrožavajući integritet i bezbjednost njihovih sistema.

 

Atributi metapodataka

Apple App Store koristi proces koji se zove notarizacija (eng. notarization) za aplikacije koje dodaje. Tokom ove procedure, Apple skenira aplikaciju kako bi potvrdio njenu autentičnost i osigurao da nije zlonamjerna. Ovaj dodatni sloj bezbjednosti pruža dodatnu mjeru zaštite od potencijalnih prijetnji. Međutim, aplikacije trećih strana nisu podvrgnute istom nivou kontrole kao one u App Store prodavnici.

U tom slučaju se koriste prošireni atributi koji služe kao dodatni dijelovi metapodataka koje korisnici ili sistemi mogu da povežu sa datotekom na macOS operativnom sistemu. Ovi atributi pružaju dodatne informacije i njima može manipulisati bilo koji korisnik ili proces bez potrebe za posebnim dozvolama zbog nepostojanja sistema dozvola za proširene atribute. Ova karakteristika utiče na atribut com.apple.quarantine i zlonamjerni akteri mogu da iskoriste ovu ranjivost tako što će ukloniti prošireni atribut iz preuzetih datoteka da bi izbjegli otkrivanje od strane sigurnosnih mehanizama macOS operativnog sistema.

Prošireni atribut apple.quarantine se automatski dodaje novopreuzetim datotekama na macOS operativnom sistemu. Nakon izvršenja ovih datoteka, prošireni atribut pokreće Gatekeeper mehanizam da provjeri i potvrdi binarnu datoteku prije nego što dozvoli izvršenje. Ovaj proces uključuje traženje saglasnosti korisnika za izvršavanje datoteke.

Gatekeeper mehanizam će obrisati prošireni atribut nakon uspješnog pregleda; međutim, datoteke kojima nedostaje ovaj atribut apple.quarantine su isključene iz provjere Gatekeeper mehanizama. Kompanija Apple pretpostavlja da će programeri poštovati bezbjednosne smjernice u vezi sa pravilnom propagiranjem proširenog atributa com.apple.quarantine na relevantne odredišne datoteke, održavajući na taj način integritet bezbjednosnog mehanizma. Međutim, istraživanje je pokazalo da ranjivim aplikacijama u različitim kategorijama kao što su virtuelizacija i arhiviranje datoteka nedostaje ovaj suštinski atribut, ali i u Apple izvornim alatima komandne linije.

 

Ranjivosti

Ovaj pristup dizajnu stavlja značajan naglasak na usklađenost programera trećih strana sa strogim bezbjednosnim standardima, ali i na to da Apple ne primjenjuje prošireni atribut karantina na sopstvenim izvornim alatima komandne linije. Ova nedosljednost može potencijalno da oslabi Gatekeeper odbrambene mehanizme, pružajući mogućnost napadačima da zaobiđu sistem i izvrše zlonamjerni sadržaj.

 

Aplikacije trećih strana

U istraživanju je primijećeno je da određene aplikacije trećih strana u domenu virtuelizacije i arhiviranja datoteka mogu predstavljati potencijalne rizike. Aplikacije kao što su iZip, Archiver, BetterZip, WinRAR, 7z Utility su primjeri za koje je utvrđeno da su ranjive u očuvanju karantinskih atributa na raspakovanim datotekama. To znači da Gatekeeper mehanizam neće skenirati raspakovani sadržaj u potrazi za potencijalnim prijetnjama. Odsustvo ove ključne provjere može dovesti do toga da zlonamjerni softver prođe neotkriveno i potencijalno nanese štetu sistemima korisnika.

Kada je riječ o aplikacijama za virtuelizaciju kao što je VMware Fusion, primijećeno je da se prilikom kopiranja datoteka sa host mašine u gostujuću macOS virtuelnu mašinu, prošireni atribut karantina izbacuje iz kopirane datoteke. To znači da Gatekeeper mehanizam neće skenirati nijednu datoteku uvezenu u virtuelnu mašinu, zaobilazeći bitnu bezbjednosnu mjeru. Iako je veća vjerovatnoća da će korisnici biti svjesni prirode datoteke koja se kopira u ovom kontekstu, to i dalje predstavlja potencijalni rizik ako je korisnik onemogućio pregled Gatekeeper mehanizma za izvršavanja aplikacije preuzete izvan App Store prodavnice.

Kompanija Apple priznaje ove ranjivosti, ali stavlja odgovornost na programere trećih strana da implementiraju odgovarajuće mehanizme karantina u svojim aplikacijama. Zabrinjavajuće je, da su tokom istraživanja otkrivene različite ranjive aplikacije u različitim žanrovima, naglašavajući potrebu za povećanom budnošću i saradnjom između kompanije Apple i zajednice programera u rješavanju ovih bezbjednosnih problema.

 

Alatke komandne linije

Izvorni alati komandne linije, kao što su SCP i curl, dobili su izuzeće od primjene proširenih atributa u karantinu kompanije Apple. Ovo je prvenstveno zbog prirode ovih mrežnih alata zasnovanih na Unix operativnom sistemu, koji su dizajnirani za upravljanje sistemskim zadacima na niskom nivou bez interakcije korisnika. Kao rezultat toga, oni neće označiti svoje preuzete datoteke sa atributom karantina, što im omogućava da zaobiđu skeniranje Gatekeeper mehanizma nakon izvršenja.

Pored toga, datoteke koje su raspakovane pomoću alata za arhiviranje komandne linije zasnovane na Unix operativnom sistemu kao što su Unzip i tar neće naslijediti prošireni atribut karantina. To znači da Gatekeeper mehanizam neće skenirati sve datoteke raspakovane pomoću ovih alata, jer se smatra da su lokalno dobijene, a ne preuzete sa spoljnog izvora.

Izuzimanje izvornih alata komandne linije od Apple proširenog atributa karantina ima značajne implikacije na bezbjednosni pejzaž na macOS sistemima. Iako su ove alatke generalno pouzdane i manje su podložne zlonamjernom softveru, od suštinskog je značaja da korisnici ostanu oprezni kada ih koriste, jer i dalje mogu potencijalno da predstavljaju prijetnje ako se koriste sa nepouzdanim izvorima ili nesigurnim vezama.

 

ZAKLJUČAK

Otkriće ranjivosti “Gatekeeper Bypass” naglašava važnost održavanja čvrste bezbjednosti sistema na macOS uređajima. Korisnici bi trebalo da budu oprezni kada preuzimaju aplikacije trećih strana, obezbeđujući da potiču iz pouzdanih izvora kako bi se smanjio rizik od susreta sa zlonamjernim softverom. Pored toga, korisnici moraju biti oprezni i svjesni bilo kakvog neobičnog ili neočekivanog ponašanja svojih instaliranih aplikacija, jer to može ukazivati na potencijalne pokušaje eksploatacije.

Programeri imaju ključnu ulogu u rješavanju ove ranjivosti tako što se striktno pridržavaju Apple bezbjednosnih smjernica u vezi sa proširenim nasljeđivanjem atributa. Pravilnim širenjem atributa com.apple.quarantine i obezbjeđivanjem usklađenosti sa drugim relevantnim bezbjednosnim mjerama, programeri mogu da pomognu u održavanju integriteta macOS sistema i zaštite korisnika od potencijalnih prijetnji koje predstavlja zlonamjerni softver.

Razumijevanje i rješavanje ranjivosti kao što je “Gatekeeper Bypass” je od suštinskog značaja za održavanje robusne bezbjednosti sistema na macOS uređajima. Informisanjem o ovim problemima, pridržavanjem najboljih praksi u razvoju aplikacija i oprezom prilikom preuzimanja aplikacija trećih strana, korisnici mogu da pomognu u zaštiti svojih sistema od potencijalnih prijetnji koje predstavljaju zlonamjerni akteri koji žele da iskoriste ranjivosti unutar mehanizma Gatekeeper.

 

ZAŠTITA

Za korisnike i organizacije, kako bi ojačali svoju bezbjednost od potencijalnih prijetnji koje proizilaze iz zaobilaženja macOS Gatekeeper mehanizma, ključno je da usvoje višeslojnu strategiju zaštite. Ovaj pristup će pomoći u smanjenju rizika i osigurati optimalnu sigurnost sistema. Evo nekoliko preporuka:

  1. Programeri treba da osiguraju da su njihove aplikacije u skladu sa bezbjednosnim zahtevima Gatekeeper mehanizma, primjenjujući atribut karantina na sve datoteke kojima njihove aplikacije rukuju. Ovo pomaže u smanjenju rizika od zlonamjernog zaobilaženja Gatekeeper mehanizma,
  2. U idealnom slučaju, integritet Gatekeeper mehanizma ne bi trebalo da se oslanja na programere, već na kompaniju Apple i njenu primjenu širenja atributa karantina gdje je relevantno. Ovo može pomoći u ublažavanju potencijalnih slabosti u sistemu,
  3. Otkrivanje ranjivosti u mehanizmu Gatekeeper naglašava važnost implementacije više slojeva bezbjednosti. Koristiti dodatna sigurnosna rješenja, koja su dizajnirana da spriječe izvršavanje poznatog i nepoznatog zlonamjernog softvera na macOS Ovi alati koriste zaštitu od prijetnji analizom njihovog ponašanja i mašinsko učenje zasnovano na modulima lokalne analize za poboljšanu zaštitu,
  4. Potrebno je biti upoznat sa različitim metodama koje mogu zaobići Gatekeeper mehanizam, kao što su aplikacije trećih strana ili čak neki izvorni alati komandne linije. Ovo znanje će pomoći da se efikasnije identifikuju potencijalne prijetnje i preduzmu brze mjere za ublažavanje,
  5. Redovno ažurirati macOS sisteme kako bi se osiguralo da imaju najnovije bezbjednosne ispravke i funkcije. Ažuriranja često uključuju ispravke za poznate ranjivosti, što otežava zlonamjernim akterima da iskoriste bilo kakve slabosti u Gatekeeper mehanizmu ili drugim komponentama sistema,
  6. Primjenjivati stroge kontrole pristupa na macOS sistemima ograničavanjem korisničkih privilegija i primjenom jakih politika lozinki. Ovo će pomoći da se spriječi da neovlašteni korisnici instaliraju potencijalno štetne aplikacije koje bi mogle da zaobiđu Gatekeeper mehanizam,
  7. Redovno nadgledati sistemsku aktivnost u slučaju bilo kakvog sumnjivog ponašanja, kao što su neuobičajena izvršenja datoteka ili mrežne veze. Rano otkrivanje potencijalnih prijetnji može značajno smanjiti uticaj i štetu prouzrokovanu uspješnim napadom,
  8. Izvršiti segmentaciju mreže, dijeljenjem mreže na manje segmente da bi se ograničilo širenje bilo koje potencijalne prijetnje ako je zaobilaženje Gatekeeper mehanizma bilo uspješno. Ovo može zadržati napad i olakšati identifikaciju i saniranje,
  9. Obučiti korisnike da prepoznaju phishing pokušaje, izbjegavaju preuzimanje neprovjerenog softvera i slede prakse bezbjednog pregledanja. Manja je vjerovatnoća da će dobro obaviješteni korisnik nenamjerno unijeti zlonamjerni softver u sistem putem “Gatekeeper Bypass” ranjivosti ili na neki drugi način,
  10. Podstaknuti korisnike da nabavljaju softver samo iz pouzdanih izvora, kao što je Apple App Store prodavnica ili internet lokacije pronevjerenih programera. Ovo smanjuje rizik od preuzimanja potencijalno štetnih aplikacija koje bi mogle da iskoriste propuste u Gatekeeper mehanizmu,
  11. Uspostaviti i primjenivati sveobuhvatnu bezbjednosnu politiku mreže koja uključuje pravila zaštitnog zida, sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) i druge zaštitne mjere za zaštitu macOS sistema organizacije od spoljnih prijetnji,
  12. Vršiti redovne revizije macOS sistema da bi se identifikovale sve potencijalne slabosti ili ranjivosti koje bi zlonamjerni akteri mogli da iskoriste. Riješiti ove probleme odmah da bi se smanjio rizik od uspješnog iskorištavanja “Gatekeeper Bypass” ranjivosti ili drugih ugrožavanja bezbjednosti,
  13. Poželjno je blisko sarađivati sa stručnjacima za sajber bezbjednost, kako bi se ostalo informisanim o novim prijetnjama i ranjivostima u macOS Ova saradnja može pomoći u primjeni proaktivnih mjera za zaštitu organizacije od potencijalnih napada korišćenjem tehnika zaobilaženja Gatekeeper mehanizma ili drugih metoda.

Prateći ove preporuke, korisnici i organizacije značajno mogu smanjiti rizik od uspješnog napada namacOS sisteme zbog “Gatekeeper Bypass” ranjivosti. Višeslojna strategija zaštite je od suštinskog značaja za održavanje čvrste bezbjednosti u današnjem okruženju digitalnih prijetnji koje se stalno razvijaju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.