0
0
Uma vulnerabilidade de bypass no macOS para o mecanismo Gatekeeper da Apple pode permitir que invasores cibernéticos executem aplicativos maliciosos em Macs de destino – independentemente de o modo de bloqueio estar ativado.
Entre os detalhes sobre o bug ( CVE-2022-42821 ), que a Microsoft apelidou de “Aquiles”, está o fato de que os pesquisadores conseguiram criar uma exploração funcional usando o mecanismo Access Control Lists (ACL) no macOS, que permite um ajuste fino permissão para aplicativos.
Alvo popular: Apple Gatekeeper para aplicativos de verificação
O Apple Gatekeeper é um mecanismo de segurança projetado para garantir que apenas “aplicativos confiáveis” sejam executados em dispositivos Mac — ou seja, aqueles assinados por uma autoridade válida e aprovados pela Apple. Se o software não puder ser validado pelo Gatekeeper, o usuário receberá um pop-up de bloqueio explicando que o aplicativo não pode ser executado.
Em teoria, isso atenua a ameaça de aplicativos maliciosos transferidos que os usuários podem baixar acidentalmente de sites piratas ou lojas de aplicativos de terceiros. O problema, porém, é que os malfeitores dedicaram bastante tempo para encontrar caminhos alternativos para o recurso, observaram os pesquisadores da Microsoft, conforme mostrado por vulnerabilidades exploradas anteriormente, como CVE-2022-22616, CVE-2022-32910 , CVE- 2021-1810, CVE-2021-30657 , CVE-2021-30853, CVE-2019-8656 e CVE-2014-8826.
E não é de se admirar: “Ignoras de gatekeeper como essa podem ser aproveitadas como um vetor para acesso inicial por malware e outras ameaças e podem ajudar a aumentar a taxa de sucesso de campanhas maliciosas e ataques ao macOS”, alertaram pesquisadores da Microsoft em um comunicado divulgado esta semana. “Nossos dados mostram que os aplicativos falsos continuam sendo um dos principais vetores de entrada no macOS, indicando que as técnicas de bypass do Gatekeeper são uma capacidade atraente e até necessária para os adversários aproveitarem os ataques”.
Descobrindo um novo bypass de gatekeeper
Pegando carona nos detalhes em torno do CVE-2021-1810, os pesquisadores da Microsoft procuraram criar um novo desvio – o que eles conseguiram fazer anexando arquivos maliciosos com regras especiais de permissão por meio do mecanismo ACL.
A Apple emprega um mecanismo de quarentena para aplicativos baixados, de acordo com o comunicado: “Ao baixar aplicativos de um navegador, como o Safari, o navegador atribui um atributo estendido especial ao arquivo baixado. Esse atributo é denominado com.apple.quarantine e é usado posteriormente para impor políticas como o Gatekeeper.”
No entanto, há uma opção adicional no macOS para aplicar um atributo estendido especial chamado com.apple.acl.text, que é usado para definir ACLs arbitrárias.
“Cada ACL tem uma ou mais entradas de controle de acesso (ACEs) que determinam o que cada principal pode ou não fazer, muito parecido com as regras de firewall”, explicaram os pesquisadores da Microsoft. “Equipados com essas informações, decidimos adicionar ACLs muito restritivas aos arquivos baixados. Essas ACLs proíbem o Safari (ou qualquer outro programa) de definir novos atributos estendidos, incluindo o atributo com.apple.quarantine.”
E sem o atributo de quarentena instalado, o Gatekeeper não é alertado para verificar o arquivo, o que permite que ele ignore completamente o mecanismo de segurança.
Crucialmente, os pesquisadores da Microsoft descobriram que o recurso Lockdown da Apple , que estreou em julho para impedir que spywares patrocinados pelo estado infectassem alvos em risco, não pode impedir o ataque de Aquiles.
“Observamos que o modo de bloqueio da Apple, introduzido no macOS Ventura como um recurso de proteção opcional para usuários de alto risco que podem ser alvos pessoais de um ataque cibernético sofisticado, tem como objetivo impedir explorações de execução de código remoto com clique zero e, portanto, não se defende contra Aquiles”, de acordo com a Microsoft.
O problema foi divulgado à Apple em julho, com correções lançadas na versão mais recente do macOS. Para se proteger, os usuários de Mac são incentivados a atualizar seus sistemas operacionais para a versão mais recente o mais rápido possível.
FONTE: DARK READING