Nova Vulnerabilidade do macOS Permite Acesso Não Autorizado a Dados

A Microsoft Threat Intelligence revelou na quinta-feira que descobriu uma vulnerabilidade no macOS que poderia potencialmente permitir que atacantes contornassem a tecnologia de Transparência, Consentimento e Controle (TCC) do sistema operacional e obtivessem acesso não autorizado aos dados sensíveis de um usuário.

Essa vulnerabilidade do macOS foi identificada como CVE-2024-44133 e chamada de “HM Surf.” Para quem não sabe, TCC é uma tecnologia que impede que aplicativos acessem as informações pessoais do usuário, incluindo serviços de localização, câmera, microfone, diretório de downloads e outros, sem seu consentimento e conhecimento prévio.

No entanto, a vulnerabilidade HM Surf envolve a remoção da proteção TCC para o diretório do navegador Safari e a modificação de um arquivo de configuração no referido diretório.

Isso poderia permitir que atores de ameaças obtivessem acesso não autorizado a dados sensíveis do usuário, incluindo histórico de navegação, câmera do dispositivo, microfone e até informações de localização, sem o consentimento do usuário.

De acordo com o relatório da Microsoft Threat Intelligence, o contorno depende de arquivos sensíveis no diretório ~/Library/Safari.

O ator de ameaças poderia substituir os controles de segurança modificando os arquivos sensíveis no diretório real do usuário (como /Users/$USER/Library/Safari/PerSitePreferences.db) e explorar as permissões e TCC do Safari.

“Ler arquivos arbitrários do diretório permite que atacantes reúnam informações extremamente úteis (como o histórico de navegação do usuário),” afirmou o relatório, acrescentando, “Escrever no diretório permite contornos do TCC, por exemplo, substituindo o PerSitePreferences.db.”

O gigante de Redmond observou ainda que as proteções de monitoramento de comportamento no Microsoft Defender for Endpoint observaram atividade suspeita associada a um adware conhecido do macOS, Adload, uma família de ameaças prevalente no macOS, potencialmente explorando essa vulnerabilidade.

“O Microsoft Defender for Endpoint detecta e bloqueia a exploração da CVE-2024-44133, incluindo a modificação anômala do arquivo de Preferências através do HM Surf ou outros métodos,” acrescentou o relatório.

A Microsoft compartilhou suas descobertas com a Apple através da Divulgação Coordenada de Vulnerabilidades (CVD) via Pesquisa de Vulnerabilidades de Segurança da Microsoft (MSVR), que foi corrigida pela Apple como parte de suas últimas atualizações de segurança para o macOS Sequoia em 16 de setembro de 2024.

Atualmente, apenas o navegador Safari da Apple utiliza as novas proteções oferecidas pelo TCC. A Microsoft está trabalhando com outros grandes fornecedores de navegadores, incluindo Google e Mozilla, para investigar mais os benefícios de endurecer arquivos de configuração locais.

A empresa incentiva fortemente os usuários do macOS a aplicarem as últimas atualizações de segurança da Apple o mais rápido possível para se protegerem contra essa vulnerabilidade.

“A Microsoft continua a monitorar o cenário de ameaças para descobrir novas vulnerabilidades e técnicas de ataque que possam afetar o macOS e outros dispositivos não Windows. À medida que as ameaças multiplataforma continuam a aumentar, uma resposta coordenada às descobertas de vulnerabilidades e outras formas de compartilhamento de inteligência sobre ameaças ajudará a enriquecer as tecnologias de proteção que garantem a experiência de computação dos usuários, independentemente da plataforma ou dispositivo que estão usando,” concluiu o relatório.