Bug do macOS que permite que o malware ignore as verificações de segurança

Bug do macOS que permite que o malware ignore as verificações de segurança, falha foi encontrada por pesquisador da Microsoft.

A Apple corrigiu uma vulnerabilidade que os invasores poderiam aproveitar para implantar malware em dispositivos macOS vulneráveis ​​por meio de aplicativos não confiáveis ​​capazes de contornar as restrições de execução do aplicativo Gatekeeper.

Encontrada e relatada pelo principal pesquisador de segurança da Microsoft, Jonathan Bar Or, a falha de segurança (apelidada de Achilles ) agora é rastreada como CVE-2022-42821 .

A Apple corrigiu o bug no macOS 13 (Ventura), macOS 12.6.2 (Monterey) e macOS 1.7.2 (Big Sur) há uma semana, em 13 de dezembro.

Bypass do gatekeeper por meio de ACLs restritivas

O Gatekeeper é um recurso de segurança do macOS que verifica automaticamente todos os aplicativos baixados da Internet se estiverem autenticados e assinados pelo desenvolvedor (aprovado pela Apple), solicitando ao usuário que confirme antes de iniciar ou emitindo um alerta de que o aplicativo não é confiável.

Isso é obtido verificando um atributo estendido chamado com.apple.quarantine, que é atribuído pelos navegadores da Web a todos os arquivos baixados, semelhante à Marca da Web no Windows.

A falha Achilles permite que cargas especialmente criadas abusem de um problema lógico para definir permissões restritivas da Lista de Controle de Acesso (ACL) que impedem navegadores da Web e downloaders da Internet de definir o atributo com.apple.quarantine para baixar a carga arquivada como arquivos ZIP.

Como resultado, o aplicativo malicioso contido na carga maliciosa arquivada é iniciado no sistema do alvo em vez de ser bloqueado pelo Gatekeeper, permitindo que os invasores baixem e implantem malware.

A Microsoft disse na segunda-feira que “o modo de bloqueio da Apple, introduzido no macOS Ventura como um recurso de proteção opcional para usuários de alto risco que podem ser alvos pessoais de um ataque cibernético sofisticado, tem como objetivo impedir explorações de execução remota de código com clique zero e, portanto, não defender-se de Aquiles.

Os usuários finais devem aplicar a correção, independentemente do status do modo de bloqueio”, acrescentou a equipe de inteligência de ameaças de segurança da Microsoft .

Mais desvios de segurança e malware do macOS

Este é apenas um dos vários desvios do Gatekeeper encontrados nos últimos anos, com muitos deles abusados ​​por invasores para contornar os mecanismos de segurança do macOS, como Gatekeeper, File Quarantine e System Integrity Protection (SIP) em Macs totalmente corrigidos.

Por exemplo, Bar Or relatou uma falha de segurança chamada Shrootless em 2021 que pode permitir que agentes de ameaças ignorem a Proteção de Integridade do Sistema (SIP) para executar operações arbitrárias no Mac comprometido, elevar privilégios para root e até mesmo instalar rootkits em dispositivos vulneráveis.

O pesquisador também descobriu powerdir , um bug que permite aos invasores contornar a tecnologia Transparência, Consentimento e Controle (TCC) para acessar os dados protegidos dos usuários.

Ele também lançou o código de exploração para uma vulnerabilidade do macOS (CVE-2022-26706) que pode ajudar os invasores a contornar as restrições da sandbox para executar o código no sistema.

Por último, mas não menos importante, a Apple corrigiu uma vulnerabilidade do macOS de dia zero em abril de 2021 que permitiu que os agentes de ameaças por trás do notório malware Shlayer contornassem as verificações de segurança de Quarentena de Arquivos, Gatekeeper e Notarização da Apple e baixassem mais malware em Macs infectados.

Os criadores de Shlayer também conseguiram obter suas cargas por meio do processo de reconhecimento de firma automatizado da Apple e usaram uma técnica de anos para aumentar os privilégios e desabilitar o Gatekeeper do macOS para executar cargas não assinadas.

Fonte: Bleeping Computer 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!