Apple сделала вторую попытку залатать брешь, позволяющую вредоносным приложениям обманывать штатного охранника Mac OS X — Gatekeeper. В минувший четверг был выпущен «целевой патч» для этой уязвимости, приватно раскрытой руководителем ИБ-исследований Synack Патриком Уордлем (Patrick Wardle), и вновь исследователь сетует, что Apple пошла более легким путем вместо подготовки полноценного патча.

История борьбы с обходом Gatekeeper началась полгода назад, когда Уордль направил в Apple отчет о бреши в этом защитном механизме OS X, появившемся с выходом версии Mountain Lion. Gatekeeper призван ограждать Mac OS от сомнительных программ и зловредов, просочившихся в закрытую экосистему Apple. Он разрешает исполнение лишь тех приложений, которые подписаны сертификатом разработчика Apple или загружены из официального магазина этой компании.

Synack сообщила в Apple о данной уязвимости (CVE-2015-7024) еще в июне, опередив команду Virus Bulletin, которая подала аналогичные отчеты в сентябре и декабре. Причиной проблемы, по свидетельству Уордля, является тот факт, что Gatekeeper верифицирует лишь первый «экзешник», который пользователь выбирает двойным щелчком мыши при установке приложения, и не проверяет при этом его способность запускать другие файлы из той же директории.

«Следовательно, можно создать особый инсталлятор или zip-файл, который при клике пользователя явит подписанный Apple бинарный код [его и будет проверять Gatekeeper], — поясняет представитель Synack. — Однако далее, в фоновом режиме, он отыщет в том же установочном пакете второй [вредоносный] бинарник и запустит его на исполнение».

Apple приняла меры к устранению проблемы в октябре, но при этом лишь занесла в черный список бинарники, представленные Уордлем вместе с PoC-кодом. Исследователь поведал Threatpost, что он за 30 секунд обошел этот «патч», используя другие бинарные коды. То же самое можно сделать и после новой попытки Apple, так как разработчик избрал тот же подход, хотя и реализовал его в XProtect, приданном OS X антивирусе.

«Для эксплойта, уверен, подойдут многие приложения, поэтому черный список является плохим решением, — заявил Уордль. — Особенно если это назвать «патчем»: у пользователей такое заявление вызывает ложное чувство защищенности. Более того, злонамеренный хакер начнет обращать патчи Apple, чтобы выявить баги, и, если патч неполноценный или слабый (как в данном случае), он «высвободит» 0-day. Мне кажется, Apple лучше было бы обождать и выпустить более адекватный патч, который полностью устранит уязвимость».

В минувшее воскресенье собеседник Threatpost должен был представить результаты исследования Gatekeeper на конференции ShmooCon в Вашингтоне, округ Колумбия. Уордль также пообещал открыть код расширения ядра, названного им Ostiarius; это расширение призвано блокировать исполнение неподписанных бинарников, скачанных из Интернета.

«Оно обеспечивает глобальный обзор всех запущенных процессов, — комментирует исследователь. — Оно проверяет загрузки из Интернета и их соответствие стандартам Gatekeeper, предполагающим наличие подписи и авторизацию. Важно, что этот код работает в ядре и ему все равно, как активируется проверяемое приложение — двойным кликом пользователя или вспомогательным исполняемым кодом. Это общая точка, в которой видны все запускаемые процессы. Данный инструмент способен обнаружить новый стартующий процесс, установить происхождение в случае, если это Интернет, и отсутствие подписи, а также произвести блокировку».

Между тем риски для пользователей «маков», по оценке Уордля, высоки, в особенности если атака осуществляется из позиции «человек посередине» или если приложение скачано с недоверенного сайта. Многие организации пользуются сертификатами Apple при создании корпоративных приложений для OS X и iOS и распространяют их через сторонние сайты. Особенно уязвимы к вредоносным инъекциям посредством MitM-атаки приложения, загруженные по незащищенному HTTP-каналу.

«Ранее Gatekeeper исправно это отслеживал и блокировал, — комментирует Уордль. — Ныне, используя новую технику, атакующий может обойти Gatekeeper, и пользователь даже не узнает, что в системе присутствует вредоносное ПО, заражение завершено и дело сделано».

Со слов представителя Synack, Apple считает свой новый фикс «узконаправленным патчем» и работает над комплексным решением. «У них есть проблемы с унаследованным кодом, они не хотят нарушать существующие зависимости, — полагает Уордль. — Я вновь поднял этот вопрос лишь потому, что реверс-инжиниринг патча и поиск нового бинарника заняли буквально пять минут. Не удивлюсь, если хакеры и другие злоумышленники сделают то же самое. Это удобный способ заражения Mac-компьютеров. До появления Gatekeeper существовало множество троянцев, ориентированных на Mac, потому Apple и создала этот механизм защиты».

Категории: Уязвимости