Apple ha recentemente corretto un difetto zero-day in macOS che poteva aggirare le protezioni anti-malware del sistema operativo. La ricerca mostra anche che una variante del noto malware Shlayer sta già sfruttando la falla da diversi mesi.
CVE-2021-30657 Panoramica tecnica zero-day
La vulnerabilità è stata scoperta dal ricercatore di sicurezza Cedric Owens, ed è stato rintracciato CVE-2021-30657. Come spiegato da Patrick Wardle a cui Owens ha chiesto di fornire un'analisi più approfondita, la vulnerabilità elude banalmente molti meccanismi di sicurezza principali di Apple, creando una grande minaccia per gli utenti Mac.
L'exploit è stato testato su macOS Catalina 10.15, e sulle versioni di Big Sur prima 11.3. Un rapporto è stato inviato ad Apple a marzo 25.
"Questo payload può essere utilizzato nel phishing e tutto ciò che la vittima deve fare è fare doppio clic per aprire .dmg e fare doppio clic sulla falsa app all'interno di .dmg - non vengono generati popup o avvisi da macOS,"Owens ha spiegato sul suo blog Medium.
Per quanto riguarda l'analisi più ampia di Wardle, ha rivelato che il bug CVE-2021-30657 potrebbe aggirare tre principali protezioni anti-malware in macOS: File Quarantine, Gatekeeper, e autenticazione notarile. È interessante notare che l'autenticazione notarile è l'ultima funzionalità di sicurezza dei tre, introdotto in macOS Catalina (10.15). La funzione introduce la notarizzazione delle applicazioni che dovrebbe assicurarsi che Apple abbia scansionato e approvato tutte le applicazioni prima che possano essere eseguite.
Tripla minaccia zero-day
Poco detto, lo zero-day è una tripla minaccia che consente al malware di entrare liberamente nel sistema. Per farlo, l'exploit innesca un movimento un bug logico nel codice sottostante di macOS in un modo che caratterizza in modo errato determinati pacchetti di applicazioni e salta i controlli di sicurezza regolari, secondo la spiegazione di Wardle. Ciò è possibile grazie al modo in cui le applicazioni macOS identificano i file, come bundle anziché come file diversi. I pacchetti contengono un elenco di proprietà che istruiscono l'app sulle posizioni specifiche dei file di cui ha bisogno.
"Qualsiasi applicazione basata su script che non contiene un file Info.plist verrà classificata erroneamente come" non un pacchetto "e quindi potrà essere eseguita senza avvisi o richieste,"Ha aggiunto Wardle.
Un'analisi successiva fornita dalla società Jamf ha rivelato che la vulnerabilità è già stata utilizzata in attacchi reali.
"Il malware Shlayer rilevato consente a un utente malintenzionato di aggirare Gatekeeper, Notarizzazione e tecnologie di sicurezza per quarantena file in macOS. L'exploit consente l'esecuzione di software non approvato su Mac e viene distribuito tramite siti Web compromessi o risultati di motori di ricerca avvelenati,"Hanno confermato i ricercatori di Jamf.
Precedente Shlayer Malware Attacks
Il Malware Shlayer è stato precedentemente noto per disabilitare Gatekeeper negli attacchi contro gli utenti macOS. Shlayer è un malware multistadio, in grado di acquisire capacità di escalation dei privilegi. È stato scoperto per la prima volta a febbraio 2018 dai ricercatori Intego.
È anche degno di nota il fatto che Shlayer sia stato precedentemente distribuito in campagne di malvertising su larga scala, in cui approssimativamente 1 milioni di sessioni utente sono state potenzialmente esposte.
Per prevenire gli attacchi, gli utenti dovrebbero aggiornare immediatamente i loro sistemi macOS.