Nuova vulnerabilità macOS consente accesso non autorizzato ai dati

Microsoft Threat Intelligence giovedì ha rivelato di aver scoperto una vulnerabilità macOS che potrebbe potenzialmente consentire agli attaccanti di bypassare la tecnologia Transparency, Consent, and Control (TCC) del sistema operativo e ottenere accesso non autorizzato ai dati sensibili di un utente.

Questa vulnerabilità macOS è stata identificata come CVE-2024-44133 ed è stata soprannominata “HM Surf.” Per chi non lo sapesse, TCC è una tecnologia che impedisce alle app di accedere alle informazioni personali dell’utente, inclusi i servizi di localizzazione, la fotocamera, il microfono, la directory dei download e altro, senza il loro consenso e conoscenza.

Tuttavia, la vulnerabilità HM Surf comporta la rimozione della protezione TCC per la directory del browser Safari e la modifica di un file di configurazione nella suddetta directory.

Questo potrebbe consentire agli attori della minaccia di ottenere accesso non autorizzato ai dati sensibili degli utenti, inclusi la cronologia di navigazione, la fotocamera del dispositivo, il microfono e persino le informazioni sulla posizione, senza il consenso dell’utente.

Secondo il rapporto di Microsoft Threat Intelligence, il bypass dipende da file sensibili nella directory ~/Library/Safari.

L’attore della minaccia potrebbe superare i controlli di sicurezza modificando i file sensibili nella vera home directory dell’utente (come /Users/$USER/Library/Safari/PerSitePreferences.db) e sfruttare i diritti e TCC di Safari.

“Leggere file arbitrari dalla directory consente agli attaccanti di raccogliere informazioni estremamente utili (come la cronologia di navigazione dell’utente),” ha dichiarato il rapporto, aggiungendo, “Scrivere nella directory consente bypass TCC, ad esempio, sovrascrivendo il PerSitePreferences.db.”

Il gigante di Redmond ha ulteriormente osservato che le protezioni di monitoraggio del comportamento in Microsoft Defender for Endpoint hanno rilevato attività sospette associate a un noto adware macOS, Adload, una famiglia di minacce macOS prevalente, che potrebbe sfruttare questa vulnerabilità.

“Microsoft Defender for Endpoint rileva e blocca lo sfruttamento di CVE-2024-44133, inclusa la modifica anomala del file Preferences tramite HM Surf o altri metodi,” ha aggiunto il rapporto.

Microsoft ha condiviso le proprie scoperte con Apple attraverso Coordinated Vulnerability Disclosure (CVD) tramite Microsoft Security Vulnerability Research (MSVR), che è stata corretta da Apple come parte dei suoi ultimi aggiornamenti di sicurezza per macOS Sequoia il 16 settembre 2024.

Attualmente, solo il browser Safari di Apple utilizza le nuove protezioni fornite da TCC. Microsoft sta collaborando con altri importanti fornitori di browser, tra cui Google e Mozilla, per indagare ulteriormente sui benefici di indurire i file di configurazione locali.

L’azienda incoraggia fortemente gli utenti macOS ad applicare gli ultimi aggiornamenti di sicurezza di Apple il prima possibile per proteggersi da questa vulnerabilità.

“Microsoft continua a monitorare il panorama delle minacce per scoprire nuove vulnerabilità e tecniche degli attaccanti che potrebbero influenzare macOS e altri dispositivi non Windows. Poiché le minacce cross-platform continuano ad aumentare, una risposta coordinata alle scoperte di vulnerabilità e altre forme di condivisione delle informazioni sulle minacce aiuterà ad arricchire le tecnologie di protezione che garantiscono l’esperienza informatica degli utenti indipendentemente dalla piattaforma o dal dispositivo che stanno utilizzando,” ha concluso il rapporto.