นักวิจัยจาก Intego ได้ออกมารายงานถึงการค้นพบมัลแวร์ตัวใหม่ชื่อ ‘OSX/Linker’ บน VirusTotal ที่ได้มีความพยายามใช้ช่องโหว่เพื่อ Bypass ฟีเจอร์ GateKeeper ของ macOS เพื่อ Execute โค้ดโดยไม่ต้องถามสิทธิ์หรือแจ้งเตือนผู้ใช้
GateKeeper เป็นฟีเจอร์บน macOS ซึ่งมีหน้าที่บังคับใช้ Code Signing และตรวจสอบว่าแอปพลิเคชันน่าเชื่อถือหรือไม่ก่อนอนุญาตให้รัน ถ้าหากไฟล์ที่ดาวน์โหลดมามี Certificate อย่างถูกต้องจาก Apple ตัวฟีเจอร์จะอนุญาตให้รันโดยไม่ถามอะไร ในทางกลับกันหากไม่ใช่จะขออนุญาตจากผู้ใช้แทน อย่างไรก็ตาม GateKeeper มีจุดอ่อนคือมอง External Drive (HDD/USB) และ Network Share เป็นแหล่งที่น่าเชื่อถือ ดังนั้นหากใช้แอปจากแหล่งที่มาข้างต้นจะไม่มีการตรวจสอบหรือแจ้ง Prompt ผู้ใช้
โดยเมื่อเดือนกุมภาพันธ์ที่ผ่านมามีนักวิจัยที่ชื่อ Filippo Cavallarin ได้ค้นพบวิธีการใช้จุดอ่อนดังกล่าวประกอบกับฟีเจอร์อื่นอีก 2 รายการประกอบด้วย Zip Archive เพื่อบรรจุ Symbolic Link ชึ้ไปยัง Automount หรือฟีเจอร์ที่สามารถ Mount Network Share จากเซิร์ฟเวอร์อย่างอัตโนมัติด้วย Path พิเศษ เช่น Is /net/evil-attacker.com/sharefolder จะเกิดการอ่านของ OS จาก URL evil-attacker.com ผ่าน NFS (Network File Share) ดังนั้นถ้าเหยื่อแกะ Zip และกดลิงก์นั้น GateKeeper จะไม่ทำหน้าที่อย่างที่ควรจะเป็นเพราะถือเป็น NFS ทั้งนี้นักวิจัยได้แจ้งต่อ Apple แล้วจนกระทั่ง 90 วันผ่านไปก็ไม่มีอะไรดีขึ้น ทาง Cavallarin จึงเผยผล PoC นั่นเอง
อย่างไรก็ตามประเด็นล่าสุดคือพบตัวอย่างมัลแวร์ 4 ตัวที่คาดว่าอยู่ระหว่างขั้นพัฒนากำลังประยุกต์ใช้ช่องโหว่ดังกล่าวเพียงแค่ไม่ได้ใช้ไฟล์ ZIP แต่เป็น disk image (.dmg) แทน โดยล่าสุดยังไม่มีการพบการใช้โจมตีจริงซึ่งนักวิจัยได้เสนอทางบรรเทาปัญหาคือให้บล็อกการสื่อสารของ NFS กับไอพีภายนอก รวมถึงอย่าเปิดไฟล์แนบในอีเมลจากแหล่งที่ดูอันตรายหรือน่าสงสัยครับ
สามารถอ่านรายงานจาก Intego ได้ที่นี่
ที่มา : https://thehackernews.com/2019/06/macos-malware-gatekeeper.html?