Microsoft trova un bug di macOS che consente al malware di aggirare i controlli di sicurezza
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 22 Dicembre 2022
Tags: #microsoft, #macOS, #malware
Tags: #microsoft, #macOS, #malware
Microsoft trova un bug di macOS che consente al malware di aggirare i controlli di sicurezza
Apple ha risolto una vulnerabilità che gli aggressori potrebbero sfruttare per distribuire malware su dispositivi macOS vulnerabili tramite applicazioni non attendibili in grado di aggirare le restrizioni di esecuzione delle applicazioni Gatekeeper.
Trovato e segnalato dal principale ricercatore di sicurezza di Microsoft Jonathan Bar Or, il difetto di sicurezza (soprannominato Achilles) è ora tracciato come CVE-2022-42821.
Apple ha risolto il bug in macOS 13 (Ventura), macOS 12.6.2 (Monterey) e macOS 1.7.2 (Big Sur) una settimana fa, il 13 dicembre.
Bypass del gatekeeper tramite ACL restrittivi
Gatekeeper è una funzionalità di sicurezza di macOS che controlla automaticamente tutte le app scaricate da Internet se sono autenticate e firmate dallo sviluppatore (approvate da Apple), chiedendo all'utente di confermare prima dell'avvio o emettendo un avviso che l'app non può essere considerata attendibile.
Ciò si ottiene controllando un attributo esteso denominato com.apple.quarantine che viene assegnato dai browser Web a tutti i file scaricati, in modo simile a Mark of the Web in Windows.
Il difetto di Achilles consente a payload appositamente predisposti di abusare di un problema logico per impostare autorizzazioni ACL (Access Control List) restrittive che impediscono ai browser Web e ai downloader Internet di impostare l'attributo com.apple.quarantine per scaricare il payload archiviato come file ZIP.
Di conseguenza, l'app dannosa contenuta in un payload archiviato viene avviata sul sistema del bersaglio invece di essere bloccata da Gatekeeper, consentendo agli aggressori di scaricare e distribuire malware.
Microsoft ha dichiarato lunedì che "la modalità di blocco di Apple, introdotta in macOS Ventura come funzione di protezione opzionale per gli utenti ad alto rischio che potrebbero essere presi di mira personalmente da un sofisticato attacco informatico, ha lo scopo di fermare gli exploit di esecuzione di codice remoto senza clic, e quindi non difendersi da Achille".
"Gli utenti finali dovrebbero applicare la correzione indipendentemente dal loro stato di modalità di blocco", ha aggiunto il team di Microsoft Security Threat Intelligence.
Altri bypass di sicurezza e malware di macOS
Questo è solo uno dei molteplici bypass di Gatekeeper trovati negli ultimi anni, con molti di essi sfruttati in natura dagli aggressori per aggirare i meccanismi di sicurezza di macOS come Gatekeeper, File Quarantine e System Integrity Protection (SIP) su Mac con patch complete.
Ad esempio, Bar Or ha segnalato una falla di sicurezza denominata Shrootless nel 2021 che può consentire agli attori delle minacce di aggirare System Integrity Protection (SIP) per eseguire operazioni arbitrarie sul Mac compromesso, elevare i privilegi di root e persino installare rootkit su dispositivi vulnerabili.
Il ricercatore ha anche scoperto powerdir, un bug che consente agli aggressori di aggirare la tecnologia Transparency, Consent, and Control (TCC) per accedere ai dati protetti degli utenti.
Ha anche rilasciato codice exploit per una vulnerabilità macOS (CVE-2022-26706) che potrebbe aiutare gli aggressori a bypassare le restrizioni sandbox per eseguire codice sul sistema.
Ultimo ma non meno importante, Apple ha corretto una vulnerabilità macOS zero-day nell'aprile 2021 che ha consentito agli attori delle minacce dietro il famigerato malware Shlayer di eludere i controlli di sicurezza di File Quarantine, Gatekeeper e Notarization di Apple e scaricare più malware sui Mac infetti.
I creatori di Shlayer erano anche riusciti a ottenere i loro payload attraverso il processo di notarile automatizzato di Apple e hanno utilizzato una tecnica vecchia di anni per aumentare i privilegi e disabilitare Gatekeeper di macOS per eseguire payload non firmati.