Microsoft revela falha do macOS que permite invasores instalarem malware indetectável

Microsoft revela falha do macOS que permite invasores instalarem malware indetectável

Pesquisadores da Microsoft descobriram uma falha grave no sistema operacional macOS, desenvolvido pela Apple. A empresa corrigiu a falha de segurança no macOS que poderia ser usada para instalar um driver malicioso do kernel, também conhecido como ‘rootkit’.  Portanto, a Microsoft revela uma falha grave no macOS.

A falha residia na proteção de integridade do sistema do macOS (SIP). Ela permite que um invasor em potencial instale uma interface de hardware que pode “sobrescrever arquivos de sistema ou instalar malware persistente e indetectável”.  

A descoberta reflete o maior foco da Microsoft em clientes corporativos que usam uma combinação de Windows e macOS em arranjos de trabalho híbrido, o que é evidenciado por produtos como seu produto de segurança de plataforma cruzada, Microsoft Defender for Endpoint. A Microsoft lançou o Defender ATP para Macs em 2019 , bem antes da pandemia empurrar todos para o hardware que usavam em casa.

“Esta vulnerabilidade no nível do sistema operacional e outras que inevitavelmente serão descobertas aumentam o número crescente de vetores de ataque possíveis para os invasores explorarem”, explica Jonathan Bar Or, da equipe de pesquisa do Microsoft 365 Defender

“À medida que as redes se tornam cada vez mais heterogêneas, o número de ameaças que tentam comprometer dispositivos não Windows também aumenta.”

Microsoft revela falha do macOS que permite invasores instalarem malware indetectável

SIP, também conhecido como ‘rootless’, bloqueia o sistema desde a raiz usando a sandbox da Apple para proteger o macOS. Ele contém várias variáveis baseadas na memória que não devem ser modificadas no modo de não recuperação. Mas o SIP pode ser desligado após a inicialização no modo de recuperação, permitindo que um invasor ignore as proteções SIP.

“Ao longo dos anos, a Apple endureceu o SIP contra ataques, melhorando as restrições”, escreve Or. 

“Uma das restrições SIP mais notáveis é a restrição do sistema de arquivos. Isso é especialmente importante para red teamers e agentes mal-intencionados, pois a quantidade de danos que alguém pode causar aos componentes críticos de um dispositivo é diretamente baseada em sua capacidade de gravar dados irrestritos no disco. “

A falha que a Microsoft encontrou nas restrições SIP da Apple estava relacionada às atualizações do sistema, que exigem acesso irrestrito a diretórios protegidos por SIP. A Apple “introduziu um conjunto específico de direitos que contornam as verificações SIP por design”, escreve Or. 

A Apple corrigiu a falha, rastreada como CVE-2021-30892, no macOS Monterey 12.0.1, bem como atualizações para Catalina e Big Sur.

Vulnerabilidades SIP não são novas, mas a Microsoft decidiu que o bug era sério o suficiente para justificar o nome “shrootless”.

“Ao avaliar os processos do macOS com direito a ignorar as proteções SIP, encontramos o daemon system_installd, que tem o poderoso direito com.apple.rootless.install.inheritable. Com esse direito, qualquer processo filho do system_installd seria capaz de ignorar as restrições do sistema de arquivos SIP ao todo “, explica Or. 

A Microsoft, é claro, argumenta que essa falha garante os recursos de análise comportamental do Defender for Endpoint para proteger os Macs na empresa. 

A Apple corrigiu dezenas de bugs mais sérios em sua atualização mais recente para o macOS Monterey e anteriores .

Dando um passo para trás, a postagem da Microsoft aborda um debate de décadas sobre se os Macs precisam de antivírus e as respectivas abordagens das duas empresas para essa questão. 

Macs, na visão da Apple, não precisam de antivírus, enquanto os PCs com Windows precisam. A Apple usou o aumento do malware direcionado ao macOS em seus argumentos contra a Epic Games, fabricante do Fortnite, por exemplo. E a Microsoft este ano contratou Justin Long, o rosto das campanhas “Get A Mac”, que antes se concentrava em malware voltado para PCs com Windows, mas não Macs . Mas na empresa em 2021, onde os Macs estão em ascensão, o trabalho é híbrido e os hackers patrocinados pelo estado estão procurando cada ponto de entrada, está claro que as ameaças à segurança continuam a evoluir.

Via ZDNet