Usuarios de macOS (incluido Mojave): ¡vuestro GateKeeper puede permitir que se ejecute una aplicación ubicada en un disco externo o en un recurso compartido de red sin verificarla! Y todavía no hay solución. ¿Cómo es posible? Porque GateKeeper considera los discos externos y los recursos compartidos NFS como ubicaciones seguras.
El principio de esta solución alternativa se basa en dos funciones totalmente legítimas:
- Los archivos ZIP pueden contener enlaces simbólicos (o «symlinks») que apuntan a una ubicación arbitraria (incluidos los puntos de montaje automáticos) que el programa de descompresión no comprueba.
- La función de montaje automático (o autofs) permite a un usuario montar automáticamente un recurso compartido de red cuya URL comience por /net/.
Por lo tanto, esta forma de eludir la seguridad puede realizarse mediante un archivo zip (entregado en una memoria USB o enviado por correo electrónico) que contenga un enlace simbólico a una aplicación controlada por el atacante.
- La futura víctima solo tiene que abrir el archivo zip y ejecutar el enlace simbólico,
- Al descomprimir, no se comprueba el enlace simbólico y GateKeeper considera que la ubicación de destino es segura,
- Una vez que ha tomado el control del destino, el atacante puede actuar con total discreción.
El hecho de que el Finder no muestre la ruta completa del enlace simbólico y oculte las extensiones hace que esta técnica sea muy eficaz y difícil de detectar.
Hasta la fecha, Apple es consciente de esta vulnerabilidad y aún no se ha proporcionado ninguna solución.
Por lo tanto, esta vulnerabilidad vuelve a llamar nuestra atención sobre el nivel de seguridad perimetral de nuestros dispositivos periféricos. ¿Deberían ser más restrictivas las medidas que se aplican al conectar dispositivos? ¿Podría una especie de entorno aislado interno al sistema permitir una mejor prevención? Las preguntas siguen sin respuesta.
Para más información sobre el tema, puedes leer este artículo de Generation-NT.com: https://www.generation-nt.com/macos-faille-securite-gatekeeper-actualite-1965327.html
