A Apple acaba de corrigir uma falha de segurança no macOS! A empresa abordou uma vulnerabilidade que aplicativos baseados em script não assinados e não certificados poderiam explorar para contornar todos os mecanismos de proteção de segurança do macOS, mesmo em sistemas totalmente corrigidos.
A falha de segurança poderia levar a instalação de cargas maliciosas nas máquinas dos usuários do macOS da Apple. De acordo com o BleepingComputer, se eles contornarem as verificações de segurança automatizadas de reconhecimento de firma, que verifica a existência de componentes maliciosos e problemas de assinatura de código, os aplicativos podem ser iniciados pelo Gatekeeper.
O Gatekeeper nada mais é que um recurso de segurança do macOS projetado para verificar se os aplicativos baixados são autenticados e assinados pelo desenvolvedor. Assim, uma vez que aplicativos maliciosos baseados em script que visam essa falha de segurança são lançados no sistema de um alvo, eles podem ser usados ??por invasores para baixar e implantar cargas maliciosas de segundo estágio.
Apple corrige vulnerabilidade do macOS
A Apple corrigiu essa vulnerabilidade no macOS 11.6 por meio de uma atualização de segurança lançada em setembro de 2021 que adiciona verificações aprimoradas. Essa vulnerabilidade, rastreada como CVE-2021-30853 Gatekeeper, foi descoberto e relatado à Apple pelo engenheiro de segurança da Box Offensive, Gordon Long.
Long descobriu que aplicativos baseados em script especialmente criados baixados da Internet seriam iniciados sem mostrar um alerta, embora fossem colocados em quarentena automaticamente. A parte “especialmente criada” requer a criação de um aplicativo que usa um script começando com um caractere shebang (! #), Mas deixando o resto da linha em branco, o que diz ao shell do Unix para executar o script sem especificar um interpretador de comando do shell.
Isso leva a um desvio do Gatekeeper porque o daemon syspolicyd comumente invocado automaticamente pela extensão do kernel AppleSystemPolicy para realizar verificações de segurança não é mais acionado para inspeção ao iniciar um script sem especificar um interpretador.
Gatekeeper explorado
Basicamente, se o script usasse um shebang (! #), mas não especificasse explicitamente um intérprete, ele ignoraria as verificações de segurança do Gatekeeper. Conforme revelado por Wardle, os agentes de ameaças podem explorar essa falha enganando seus alvos para que abram um aplicativo malicioso que também pode ser camuflado como um documento PDF sem aparente ameaça.
Além disso, essas cargas maliciosas podem ser entregues nos sistemas dos alvos por meio de vários métodos, incluindo resultados de pesquisa envenenados, atualizações falsas e aplicativos com cavalos de Troia baixados de sites com links para softwares piratas, por exemplo.
Este não é o primeiro bug do macOS corrigido pela Apple que permitiria aos agentes da ameaça contornar completamente os mecanismos de segurança do sistema operacional, como o Gatekeeper e a Quarentena de arquivos em Macs totalmente corrigidos.
Via: BleepingComputer