Menú principal

viernes, 31 de mayo de 2019

Descubren un nuevo Bypass para Gatekeeper

No es la primera vez que se habla de Gatekeeper, la característica de seguridad que ofrece Apple en su lucha contra el malware. Gatekeeper ayuda a verificar si un código está firmado como es debido antes de poder ejecutar una aplicación, si no es así, previene al usuario de su ejecución. En esta ocasión el experto en seguridad, Filippo Cavallarin, ha descubierto una nueva forma de saltarse esta protección de manera muy sencilla y que actualmente no tiene solución.

¿Cómo se puede saltar esta medida de seguridad? 

Se ha descubierto que Gatekeeper considera los discos externos, como la red local, como lugares seguros, permitiendo por defecto la ejecución de las aplicaciones sin verificar firma alguna, dejando al usuario vulnerable ante una aplicación maliciosa.

Figura 1: Gatekeeper Bypass

Filippo asegura haber informado del fallo a Apple el 22 febrero de 2019, y la compañía supuestamente lo iba a solucionar el 15 de mayo, pero aún no han sacado una solución. Al pasar los 90 días el investigador ha hecho público el fallo.

El ejemplo de ataque que nos proponen es el que sigue:
  1. Crear un fichero zip con enlace simbólico a un disco virtual con automontaje. 
  2. Crear una aplicación con el código que desea ejecutar. 
  3. Crear un recurso compartido NFS accesible públicamente y poner la app en él. 
  4. Cargar el zip en Internet Cargar el zip en algún lugar de Internet y descargarlo para que obtenga la ‘flag’ de cuarentena utilizada por Gatekeeper.
  5. Extraer el zip y explorarlo.
Esperemos que Apple corrija pronto este problema, mientras tanto a tener cuidado y deshabilitar el automontaje.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares