Microsoft Encontra Bug no macOS Que Ignora Segurança

A Apple recentemente corrigiu uma vulnerabilidade no sistema operacional macOS que poderia ser potencialmente explorada por um ator de ameaça para contornar o mecanismo de segurança Gatekeeper da Apple e implantar malware em dispositivos macOS vulneráveis.

Jonathan Bar Or, Pesquisador Principal de Segurança da Microsoft, detalhou o Gatekeeper, a vulnerabilidade capaz de contorná-lo e os efeitos da falha em uma postagem de blog de segurança publicada na segunda-feira.

A pesquisa foi compartilhada pela Microsoft para enfatizar a importância da colaboração entre pesquisadores e a comunidade de segurança para melhorar as defesas do ecossistema maior.

Rastreada como CVE-2022-42821 (apelidada de Aquiles), a vulnerabilidade está relacionada a um cenário onde atacantes podem contornar as restrições de execução de aplicativos impostas pelas verificações de segurança do Gatekeeper da Apple, que é projetado para garantir que apenas software confiável seja executado em dispositivos Mac.

A Microsoft compartilhou a vulnerabilidade com a Apple em julho de 2022 por meio da Divulgação Coordenada de Vulnerabilidades (CVD) via Pesquisa de Vulnerabilidades de Segurança da Microsoft (MSVR).

O fabricante do iPhone abordou a vulnerabilidade Aquiles enviando uma atualização no macOS 13 (Ventura), macOS 12.6.2 (Monterey) e macOS 1.7.2 (Big Sur) em 13 de dezembro de 2022.

“Contornos do Gatekeeper como este poderiam ser aproveitados como um vetor para acesso inicial por malware e outras ameaças e poderiam ajudar a aumentar a taxa de sucesso de campanhas e ataques maliciosos no macOS,” escreveu Jonathan na postagem do blog.

Contorno de ACLs Restritivas do Gatekeeper

O Gatekeeper é um recurso de segurança do macOS, que impõe a assinatura de código e verifica aplicativos baixados antes de permitir que eles sejam executados, reduzindo assim a probabilidade de executar inadvertidamente malware.

Ao baixar aplicativos de um navegador, como o Safari, o navegador atribui um atributo estendido especial chamado com.apple.quarantine ao arquivo baixado. Isso é usado posteriormente para impor políticas como o Gatekeeper.

O design atual do Gatekeeper dita o seguinte comportamento para aplicativos baixados:

2. Se o aplicativo estiver validamente assinado e notariado, ou seja, aprovado pela Apple, então um aviso requer o consentimento do usuário antes de ser iniciado.

3. Caso contrário, o usuário é informado de que o aplicativo não pode ser executado, pois não é confiável.

“Devido ao seu papel essencial em impedir malware no macOS, o Gatekeeper é um recurso de segurança útil e eficaz,” acrescenta Jonathan.

“No entanto, considerando que houve inúmeras técnicas de contorno visando o recurso de segurança no passado, o Gatekeeper não é à prova de balas. Ganhar a capacidade de contornar o Gatekeeper tem implicações graves, pois às vezes autores de malware aproveitam essas técnicas para acesso inicial .”

Para demonstrar a vulnerabilidade Aquiles, a Microsoft desenvolveu uma prova de conceito (POC) que examinou arquivos AppleDouble que abusam de ACLs.

Para aqueles que não sabem, AppleDouble é um formato de arquivo que salva os metadados em um arquivo diferente ao lado do arquivo original, com um prefixo “._”.

A empresa decidiu adicionar ACLs muito restritivas aos arquivos baixados, que proibiam o Safari (ou qualquer outro programa) de definir novos atributos estendidos, incluindo o atributo com.apple.quarantine.

Para realizar a POC, a Microsoft criou uma estrutura de diretório falsa com um ícone e carga útil arbitrários.

O gigante de Redmond então criou um arquivo AppleDouble com a chave de atributo estendido com.apple.ac.text e um valor que representava uma ACL restritiva selecionando o equivalente a “everyone deny write,writeattr,writeextattr,writesecurity,chown”. Execute o patching correto do AppleDouble se usando ditto para gerar o arquivo AppleDouble.

Por fim, criou uma carga útil maliciosa arquivada dentro do aplicativo malicioso ao lado de seu arquivo AppleDouble e o hospedou em um servidor web.

Como resultado, o aplicativo malicioso, em vez de ser bloqueado pelo Gatekeeper, permitiu que atacantes baixassem e implantassem malware.

“O Modo de Bloqueio da Apple, introduzido no macOS Ventura como um recurso de proteção opcional para usuários de alto risco que podem ser alvos pessoais de um ciberataque sofisticado, visa impedir exploits de execução remota de código sem clique, e portanto não defende contra Aquiles,” disse a equipe de Inteligência de Ameaças de Segurança da Microsoft na segunda-feira.

“Os usuários finais devem aplicar a correção, independentemente do status do seu Modo de Bloqueio.”