Выпущен PoC-код для эксплуатации уязвимости обхода технологии Gatekeeper в macOS

Исследователь в области кибербезопасности Расмус Стен (Rasmus Sten) из компании F-Secure опубликовал PoC-код для эксплуатации уязвимости ( CVE-2021-1810 ), позволяющей обойти все три средства защиты от загрузки вредоносных файлов в macOS — карантина файлов, Gatekeeper и нотариального заверения.

Проблема была обнаружена в компоненте утилиты архивирования в версиях macOS Big Sur и Catalina и ее можно использовать с помощью специально созданного ZIP-файла. Для успешной эксплуатации уязвимости злоумышленник должен обманом заставить пользователя загрузить и открыть архив для выполнения вредоносного кода внутри.

В случае успешной атаки преступник может выполнять неподписанные двоичные файлы на устройствах под управлением macOS, даже если Gatekeeper применяет подписи кода и без предупреждения пользователя.

Уязвимость связана с тем, как утилита архивирования обрабатывает пути к файлам. В частности, для путей длиной более 886 символов расширенный атрибут com.apple.quarantine больше не применяется, что приводит к обходу Gatekeeper для файлов.

Как пояснил эксперт, можно создать архив с иерархической структурой, для которой длина пути будет достаточно длинной, чтобы Safari вызывал утилиту архивирования для его распаковки и утилита архивирования не применяла атрибут com.apple.quarantine, но достаточно короткой для просмотра с помощью Finder.

Уязвимость была устранена с выпуском версии macOS Big Sur 11.3 и обновления безопасности 2021-002 для Catalina.