Forum>Apple>MacOSX Gatekeeper Bypass - keine news?

MacOSX Gatekeeper Bypass - keine news?

[ezi0n]28.05.1910:00
Apple scheint dies klein zu halten ... interessant ist seine Dokumentation ...
0

Kommentare

Marcel Bresink28.05.1910:32
Aus der Dokumentation ergibt sich, dass das ziemlicher Blödsinn ist.

Voraussetzung für einen dort skizzierten Angriff ist, dass man ein Netzwerk hat, das über einen Verzeichnisdienstserver NFS-Autoaktivierungen verteilt. Zusätzlich muss man vorher einen der in diesem Netz verwendeten NFS-Server angreifen und dort Malware platzieren.
+3
[ezi0n]28.05.1912:37
es reicht, ein zip zu verteilen mit einem symlink auf ein NFS den der angreifer kontrolliert ... siehe hier:
0
rene204
rene20428.05.1914:11
(ezi0n)
es reicht, ein zip zu verteilen mit einem symlink auf ein NFS den der angreifer kontrolliert ...
öffnest Du einfach ein .zip aus einer unbekannten, nicht vertrauenswürdigen Quelle und klickst dann noch auf einen symlink?
„Gelassenheit und Gesundheit.. ist das wichtigste...“
+1
Marcel Bresink28.05.1914:31
(ezi0n)
es reicht, ein zip zu verteilen mit einem symlink auf ein NFS den der angreifer kontrolliert

Nein, eben nicht. Es muss ein NFS-Server sein, der für das lokale Netzwerk eine vertrauenswürdige Position hat und vom Netzadministrator als Automount konfiguriert ist.

Wenn es jemandem gelingt, Malware an eine Stelle zu legen, die für den angegriffenen Rechner den Rang eines externen Laufwerks hat, dann es ist ziemlich egal, ob Gatekeeper das bemerkt oder nicht. Wenn die Malware nicht als Download markiert ist, kommt Gatekeeper überhaupt nicht zum Einsatz.
+1
[ezi0n]28.05.1917:06
Marcel Bresink
(ezi0n)
es reicht, ein zip zu verteilen mit einem symlink auf ein NFS den der angreifer kontrolliert

Nein, eben nicht. Es muss ein NFS-Server sein, der für das lokale Netzwerk eine vertrauenswürdige Position hat und vom Netzadministrator als Automount konfiguriert ist.

Wenn es jemandem gelingt, Malware an eine Stelle zu legen, die für den angegriffenen Rechner den Rang eines externen Laufwerks hat, dann es ist ziemlich egal, ob Gatekeeper das bemerkt oder nicht. Wenn die Malware nicht als Download markiert ist, kommt Gatekeeper überhaupt nicht zum Einsatz.

zu deinem verstaendnis - was du machst, wenn autofs genutzt wird egal mit welchem server - du startest lokal nen NFS server auf deiner attacker maschine - dann erzeugst du einen einen symlink beginnend mit /net/dein_server/nfs_path - der pfad /net ermoeglicht den automount fuer einen offenen NFS server auf deinem victim - das ist der hintergrund der attacke ... der symlink nutzt genau dieses aus - ich muss hier gar nichts uebernehmen sondern kann meine resource zur verfuegung stellen ...
+2
[ezi0n]28.05.1917:25
wollte editieren, aber ging nicht mehr ... du brauchst nicht mal autofs fuer irgendeinen server - die /net umleitung macht das automatisch ...

durchlauf einfach das PoC selbst der Pfad wird gemounted .... der proof of concept liegt ja zum validieren bei ... dauert 5 minuten ...
+2

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen