Microsoft Trova un Bug di macOS Che Bypassa la Sicurezza

Apple ha recentemente corretto una vulnerabilità nel sistema operativo macOS che potrebbe essere potenzialmente sfruttata da un attore malevolo per bypassare il meccanismo di sicurezza Gatekeeper di Apple e distribuire malware su dispositivi macOS vulnerabili.

Jonathan Bar Or, Principal Security Researcher di Microsoft, ha dettagliato Gatekeeper, la vulnerabilità in grado di bypassarlo e gli effetti del difetto in un post sul blog sulla sicurezza pubblicato lunedì.

La ricerca è stata condivisa da Microsoft per sottolineare l’importanza della collaborazione tra ricercatori e la comunità della sicurezza per migliorare le difese per l’ecosistema più ampio.

Tracciata come CVE-2022-42821 (chiamata Achilles), la vulnerabilità è correlata a uno scenario in cui gli attaccanti possono eludere le restrizioni all’esecuzione delle applicazioni imposte dai controlli di sicurezza Gatekeeper di Apple, progettati per garantire che solo software fidati venga eseguito sui dispositivi Mac.

Microsoft ha condiviso la vulnerabilità con Apple nel luglio 2022 attraverso la Coordinated Vulnerability Disclosure (CVD) tramite Microsoft Security Vulnerability Research (MSVR).

Il produttore dell’iPhone ha affrontato la vulnerabilità di Achilles inviando un aggiornamento in macOS 13 (Ventura), macOS 12.6.2 (Monterey) e macOS 1.7.2 (Big Sur) il 13 dicembre 2022.

“Il bypass di Gatekeeper come questo potrebbe essere sfruttato come vettore per l’accesso iniziale da parte di malware e altre minacce e potrebbe aiutare ad aumentare il tasso di successo di campagne e attacchi malevoli su macOS,” ha scritto Jonathan nel post del blog.

Bypass di ACL Restrittive di Gatekeeper

Gatekeeper è una funzione di sicurezza di macOS, che applica la firma del codice e verifica le applicazioni scaricate prima di consentirne l’esecuzione, riducendo così la probabilità di eseguire involontariamente malware.

Quando si scaricano app da un browser, come Safari, il browser assegna un attributo esteso speciale chiamato com.apple.quarantine al file scaricato. Questo viene poi utilizzato per applicare politiche come Gatekeeper.

Il design attuale di Gatekeeper stabilisce il seguente comportamento per le app scaricate:

2. Se l’app è validamente firmata e notarizzata, ovvero approvata da Apple, allora viene richiesta il consenso dell’utente prima che venga avviata.

3. Altrimenti, l’utente viene informato che l’app non può essere eseguita poiché non è fidata.

“Data la sua funzione essenziale nel fermare il malware su macOS, Gatekeeper è una funzione di sicurezza utile ed efficace,” aggiunge Jonathan.

“Tuttavia, considerando che ci sono state numerose tecniche di bypass che hanno preso di mira la funzione di sicurezza in passato, Gatekeeper non è a prova di proiettile. Ottenere la capacità di bypassare Gatekeeper ha gravi implicazioni poiché a volte gli autori di malware sfruttano quelle tecniche per l’accesso iniziale .”

Per dimostrare la vulnerabilità di Achilles, Microsoft ha sviluppato una prova di concetto (POC) che esaminava i file AppleDouble che abusano delle ACL.

Per chi non lo sapesse, AppleDouble è un formato di file che salva i metadati in un file diverso affianco al file originale, con un prefisso “._”.

L’azienda ha deciso di aggiungere ACL molto restrittive ai file scaricati, che vietavano a Safari (o a qualsiasi altro programma) di impostare nuovi attributi estesi, incluso l’attributo com.apple.quarantine.

Per eseguire il POC, Microsoft ha creato una struttura di directory falsa con un’icona e un payload arbitrari.

Il gigante di Redmond ha poi creato un file AppleDouble con la chiave dell’attributo esteso com.apple.ac.text e un valore che rappresentava un’ACL restrittiva selezionando l’equivalente di “everyone deny write,writeattr,writeextattr,writesecurity,chown”. Esegui la corretta patching di AppleDouble se utilizzi ditto per generare il file AppleDouble.

Infine, ha creato un payload malevolo archiviato all’interno dell’app malevola insieme al suo file AppleDouble e lo ha ospitato su un server web.

Di conseguenza, l’app malevola invece di essere bloccata da Gatekeeper, ha consentito agli attaccanti di scaricare e distribuire malware.

“Il Lockdown Mode di Apple, introdotto in macOS Ventura come funzione di protezione opzionale per utenti ad alto rischio che potrebbero essere personalmente presi di mira da un attacco informatico sofisticato, è progettato per fermare gli exploit di esecuzione di codice remoto a zero clic e quindi non difende contro Achilles,” ha dichiarato il team di Microsoft Security Threat Intelligence lunedì.

“Gli utenti finali dovrebbero applicare la correzione indipendentemente dal loro stato di Lockdown Mode.”