Специалисты компании Microsoft раскрыли подробности уязвимости CVE-2022-42821, которая могла использоваться для обхода Gatekeeper. Неделю назад разработчики Apple исправили эту проблему, получившую имя Achilles, в составе macOS 13 (Ventura), macOS 12.6.2 (Monterey) и macOS 1.7.2 (Big Sur).
Сотрудники Microsoft обнаружили этот баг в июле 2022 года. Они объясняют, что в macOS файлам, загруженным из интернета, присваивается специальный атрибут com.apple.quarantine. Благодаря этому, Gatekeeper может эффективно предотвращать запуск таких приложений, поскольку они не подписаны и не нотаризованы Apple. Словом, функциональность схожа с Mark-of-the-Web (MotW) в Windows.
Уязвимость Achilles позволяет использовать специально созданные пейлоады для установки ограничений в Access Control List (ACL). В итоге атрибут com.apple.quarantine не будет присваиваться полезным нагрузкам, загруженным из интернета в формате ZIP-архивов. То есть вредоносное приложение, содержащееся в архиве, сможет запуститься в системе жертвы, и его не заблокирует Gatekeeper, что позволит злоумышленникам загружать и развертывать на машине малварь. Демонстрацию такой атаки можно увидеть ниже.
Эксперты Microsoft отмечают, что «режим Lockdown, представленный в macOS Ventura в качестве дополнительной защитной функции для пользователей из групп риска, которые могут становиться мишенью для таргетированных кибератак, направлен на защиту от zero-click эксплоитов и, следовательно, не защищает от Achilles».
«Фиктивные приложения остаются одним из основных векторов проникновения в macOS, следовательно, методы обхода Gatekeeper являются заманчивой возможностью и даже необходимостью, а злоумышленники могут использовать их в своих атаках», — резюмируют эксперты.
