พบมัลแวร์ตัวใหม่ ‘OSX/Linker’ พยายามใช้ช่องโหว่บน macOS ที่ Apple ยังไม่แพตช์

นักวิจัยจาก Intego ได้ออกมารายงานถึงการค้นพบมัลแวร์ตัวใหม่ชื่อ ‘OSX/Linker’ บน VirusTotal ที่ได้มีความพยายามใช้ช่องโหว่เพื่อ Bypass ฟีเจอร์ GateKeeper ของ macOS เพื่อ Execute โค้ดโดยไม่ต้องถามสิทธิ์หรือแจ้งเตือนผู้ใช้

GateKeeper เป็นฟีเจอร์บน macOS ซึ่งมีหน้าที่บังคับใช้ Code Signing และตรวจสอบว่าแอปพลิเคชันน่าเชื่อถือหรือไม่ก่อนอนุญาตให้รัน ถ้าหากไฟล์ที่ดาวน์โหลดมามี Certificate อย่างถูกต้องจาก Apple ตัวฟีเจอร์จะอนุญาตให้รันโดยไม่ถามอะไร ในทางกลับกันหากไม่ใช่จะขออนุญาตจากผู้ใช้แทน อย่างไรก็ตาม GateKeeper มีจุดอ่อนคือมอง External Drive (HDD/USB) และ Network Share เป็นแหล่งที่น่าเชื่อถือ ดังนั้นหากใช้แอปจากแหล่งที่มาข้างต้นจะไม่มีการตรวจสอบหรือแจ้ง Prompt ผู้ใช้

โดยเมื่อเดือนกุมภาพันธ์ที่ผ่านมามีนักวิจัยที่ชื่อ Filippo Cavallarin ได้ค้นพบวิธีการใช้จุดอ่อนดังกล่าวประกอบกับฟีเจอร์อื่นอีก 2 รายการประกอบด้วย Zip Archive เพื่อบรรจุ Symbolic Link ชึ้ไปยัง Automount หรือฟีเจอร์ที่สามารถ Mount Network Share จากเซิร์ฟเวอร์อย่างอัตโนมัติด้วย Path พิเศษ เช่น Is /net/evil-attacker.com/sharefolder จะเกิดการอ่านของ OS จาก URL evil-attacker.com ผ่าน NFS (Network File Share) ดังนั้นถ้าเหยื่อแกะ Zip และกดลิงก์นั้น GateKeeper จะไม่ทำหน้าที่อย่างที่ควรจะเป็นเพราะถือเป็น NFS ทั้งนี้นักวิจัยได้แจ้งต่อ Apple แล้วจนกระทั่ง 90 วันผ่านไปก็ไม่มีอะไรดีขึ้น ทาง Cavallarin จึงเผยผล PoC นั่นเอง

PoC โดย Filippo Cavallarin

อย่างไรก็ตามประเด็นล่าสุดคือพบตัวอย่างมัลแวร์ 4 ตัวที่คาดว่าอยู่ระหว่างขั้นพัฒนากำลังประยุกต์ใช้ช่องโหว่ดังกล่าวเพียงแค่ไม่ได้ใช้ไฟล์ ZIP แต่เป็น disk image (.dmg) แทน โดยล่าสุดยังไม่มีการพบการใช้โจมตีจริงซึ่งนักวิจัยได้เสนอทางบรรเทาปัญหาคือให้บล็อกการสื่อสารของ NFS กับไอพีภายนอก รวมถึงอย่าเปิดไฟล์แนบในอีเมลจากแหล่งที่ดูอันตรายหรือน่าสงสัยครับ

สามารถอ่านรายงานจาก Intego ได้ที่นี่

ที่มา :  https://thehackernews.com/2019/06/macos-malware-gatekeeper.html?


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Adobe แพตช์อุดช่องโหว่ร้ายแรงกว่า 45 รายการแนะผู้ใช้เร่งอัปเดต

Adobe ได้ออกแพตช์ช่องโหว่ร้ายแรงถึง 45 รายการให้ Acrobat and Reader จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต

Microsoft ประกาศเปิด Tamper Protection เป็นค่า Default ให้ Windows 10

อีกไม่นานนี้ผู้ใช้งาน Windows 10 จะได้รับการอัปเดตเพื่อเปิดฟีเจอร์ Tamper Protection เป็นค่าพื้นฐาน ซึ่งช่วยไม่ให้เกิดการแก้ไข Windows Security และ Defender ได้ง่ายๆ