Falha do macOS permite que malware ignore verificações de segurança e mais

falha-do-macos-permite-que-malware-ignore-verificacoes-de-seguranca-e-mais

Na última atualização dos seus sistemas operacionais, a Apple corrigiu uma falha do macOS que permite que um malware ignore verificações de segurança.

macOS e a falha corrigida pela Apple

A Apple corrigiu a vulnerabilidade que os invasores poderiam aproveitar para implantar malware em dispositivos macOS vulneráveis ??por meio de aplicativos não confiáveis ??capazes de contornar as restrições de execução do aplicativo Gatekeeper.

Essa falha foi encontrada e relatada pelo principal pesquisador de segurança da Microsoft, Jonathan Bar Or, a falha de segurança (apelidada de Achilles) agora é rastreada como CVE-2022-42821. Ela foi corrigida pela Apple no macOS 13 (Ventura), macOS 12.6.2 (Monterey) e macOS 1.7.2 (Big Sur) há uma semana, em 13 de dezembro.

Bypass do gatekeeper por meio de ACLs restritivas

O Gatekeeper é um recurso de segurança do macOS que verifica automaticamente todos os aplicativos baixados da Internet se estiverem autenticados e assinados pelo desenvolvedor, solicitando ao usuário que confirme antes de iniciar ou emitindo um alerta de que o aplicativo não é confiável. Isso é obtido verificando um atributo estendido chamado com.apple.quarantine, que é atribuído pelos navegadores da Web a todos os arquivos baixados, semelhante à Marca da Web no Windows.

A falha Achilles permite que cargas especialmente criadas abusem de um problema lógico para definir permissões restritivas da Lista de Controle de Acesso (ACL) que impedem navegadores da Web e downloaders da Internet de definir o atributo com.apple.quarantine para baixar a carga arquivada como arquivos ZIP.

Com isso, o aplicativo malicioso contido na carga maliciosa arquivada é iniciado no sistema do alvo em vez de ser bloqueado pelo Gatekeeper, permitindo que os invasores baixem e implantem malware.

falha-do-macos-permite-que-malware-ignore-verificacoes-de-seguranca-e-mais

Mais desvios de segurança e malware do macOS

Este é apenas um dos vários desvios do Gatekeeper encontrados nos últimos anos, com muitos deles abusados ??por invasores para contornar os mecanismos de segurança do macOS, como Gatekeeper, File Quarantine e System Integrity Protection (SIP) em Macs totalmente corrigidos.

O Bleeping Computer cita, por exemplo, que o Bar Or relatou uma falha de segurança chamada Shrootless em 2021 que pode permitir que agentes de ameaças ignorem a Proteção de Integridade do Sistema (SIP) para executar operações arbitrárias no Mac comprometido, elevar privilégios para root e até mesmo instalar rootkits em dispositivos vulneráveis.

Além desse, um outro bug permite aos invasores contornar a tecnologia Transparência, Consentimento e Controle (TCC) para acessar os dados protegidos dos usuários.

Ele também lançou o código de exploração para uma vulnerabilidade do macOS (CVE-2022-26706) que pode ajudar os invasores a contornar as restrições da sandbox para executar o código no sistema.

Além disso, a Apple corrigiu uma vulnerabilidade do macOS de dia zero em abril de 2021 que permitiu que os agentes de ameaças por trás do notório malware Shlayer contornassem as verificações de segurança de Quarentena de Arquivos, Gatekeeper e Notarização da Apple e baixassem mais malware em Macs infectados.