macOS 10.14.x Gatekeeper를 우회하여 악성코드를 실행할 수 있는 취약점 공개

이탈리아의 Ceo and Senior Security Researcher에서 활동하고 있는 Filippo Cavallarin는 지난 24일 Apple의 최신 macOS인 Mojave 10.14.5를 포함한 모든 10.14.x 버전에서 Gatekeeper를 우회하여 악의적인 코드를 실행할 수 있는 취약점를 공개 했습니다. 

이번에 공개된 취약점은 Gatekeeper가 외장드라이버 또는 NFS(Network File System) 공유 연결된 저장공간을 모두 안전한 공간(Safe Location)으로 간주하여 해당 공간에서 실행되는 실행코드를 검사하지 않는다는 것 입니다.

그렇다면 문제는 NFS를 연결시키기만 하면 공격자는 자신의 컴퓨터에서 NFS를 통해 자신이 원하는 악성코드를 실행 시킬 수가 있게 되는 셈 입니다. Filippo Cavallarin은 Gatekeeper Bypass 라고 명명된 이 취약점이 어떻게 동작할 수 있는지를 유튜브를 통해 공개를 했습니다. 

우선, NFS로 접속할 공간을 automount endpoints Symbolic Link 파일로 만들고, 이를 인터넷상에 다운로드 파일로 만든 후, 배포합니다.  임의의 사용자가 이 파일을 다운로드 받고 해당 Symbolic Link를 클릭하면, 인터넷을 통해 NFS로 공유 연결이 되게 되는데, 이렇게 연결이 되면 공격자가 악성코드를 사용자 mac의 Gatekeeper를 우회하여 실행시킬 수 있게 되는 것 입니다. 

macOS Gatekeeper Bypass 시연 영상

Filippo는 지난 2월 22일 이 문제점을 애플에 보고 했지만, 애플이 이에 응하지 않아 문제를 공개했으며, 회피 방법을 공유 했습니다. 

회피 방법은 다음과 같습니다. 
1. 터미널 실행
2. sudo -s 명령
3. 로그인 패스워드 입력
4. nano /etc/auto_master 명령
5. auto_master 내용 중 /net 의 앞에 #을 붙여줌
6. CTRL-X 키인한 후 enter키를 입력하여 저장해 줌
7. 맥 재 부팅