A múlt héten az Intego munkatársai egy nemrég feltárt biztonsági hiba első ismert kihasználására találtak rá a macOS-ben. Filippo Cavallarin biztonsági szakértő még februárban fedezte fel azt a “MacOS X GateKeeper Bypass” (sic!) névre hallgató sérülékenységet, ami két, a macOS-ben megtalálható, amúgy legitim funkció kicsit szerencsétlen összjátékából kerekedett ki.

A szimbolikus linkeket, ZIP fájlokat és hálózati meghajtókat is felvonultató bug leegyszerűsítve azzal jár, hogy egy megfelelően összeállított ZIP-et kibontva, majd a benne lévő symlinket követve a gyanútlan felhasználó a támadó által előkészített, automount (automatikusan felcsatolt) hálózati meghajtóra vezethető.

A GateKeeper a hálózati meghajtókat automatikusan biztonságosnak ítéli, és az ott tárolt alkalmazások és egy egyéb végrehajtható fájlok futtatását alapértelmezésben engedélyezi. A “félrelinkelt” felhasználó tehát minden figyelmeztetés nélkül elindíthat egy olyan programot, amit a támadó írt és helyezett el a rosszindulatú meghajtón.

Cavallarin rögtön (február 22-én) jelentette is a hibát az Apple felé, akik azt ígérték neki, hogy azt 90 napon belül javítják. Azonban állítása szerint ez nem történt meg, sőt, a cég kapcsolattartói egy idő után többé nem válaszoltak az emailjeire. Ezért a biztonsági szakember május 24-én nyilvánosan is elérhetővé tette a hiba magyarázatát és egy proof-of-concept megvalósítás leírását is. A macOS-nek legalább 10.14.5 verziójáig működőképes módszerről még egy bemutatóvideót is készített:

Az Intego csapata ennek a sebezhetőségnek egy konkrét, “vadon élő” kihasználását találta meg néhány napja, ezt keresztelték el OSX/Linker névre. Ők azt feltételezik, hogy ez a kísérlet egyelőre csak egy teszt volt, amivel valamilyen malware későbbi elterjesztésének mechanizmusát szerették volna elpróbálni a támadók.

Az OSX/Linkert négy különböző disk image (.dmg) fájlból álló minta fedte fel, amelyet a Virustotal adatbázisába is feltöltöttek. Az első esetben egy izraeli, a maradék három esetben egy egyesült államokbeli IP-ről, névtelenül (regisztráció nélkül) töltötték föl, igen rövid időközökkel. Ez arra enged következtetni, hogy valószínűleg egy és ugyanaz a személy állhat a fájlok mögött, aki vagy izraeli vagy amerikai illetőségű, éppen csak a legelső vagy az utolsó három esetben elfelejtette az IP-címét megfelelően elfedni.

A lemezképfájlok szakértői vizsgálata idején az NFS szerver, ahová a megnyitandó hálózati meghajtók mutattak, már nem tartalmazott végrehajtható fájlokat. Node honnan lehet akkor tudni (vagy legalábbis nagy valószínűséggel sejteni), hogy valóban tartalmazott malware-t? Erre több jel is utalt. Például a négy disk image-et a készítőjük az Adobe Flash Player telepítőjeként álcázta – ez az egyik leggyakoribb módja annak, ahogyan a támadók megpróbálják az áldozatokat valamilyen szoftver telepítésére rávenni. A másik több mint gyanús tény az, hogy a négy fájl közül az egyiket egy olyan, az Apple Developer programban részt vevő identitással (Mastura Fenny, 2PVD64XRF3) írták alá, amelyet az elmúlt kilencven nap során több száz másik, szintén hamis Flash Player telepítő digitális aláírására használtak.

Sajnos egyelőre a sebezhetőség ellen biztos védelem nincsen, bár mind az Intego cikkében, mind Cavallarin írásában találhatunk utalásokat arra, hogy mi jelezheti számunkra, ha gépünk fertőzött a rosszindulatú szoftverrel, és hogy átmenetileg hogyan kerülhetjük ki a problémát. A tanulság mindenesetre ismét az, hogy ne nyissunk meg ész nélkül olyan fájlokat (pláne appokat, végrehajtható programokat, szkripteket), amelyeknek az eredetéről és legitimitásáról nem győződtünk meg jóelőre és körültekintően.