Microsoft ha recentemente rivelato a la vulnerabilità Macos, identificato come CVE-2022-26706, che potrebbe consentire a codici appositamente predisposti di sfuggire all'App Sandbox e di funzionare senza restrizioni. I risultati sono stati condivisi con Apple tramite i programmi Coordinated Vulnerability Disclosure e Microsoft Security Vulnerability Research.
È inoltre disponibile un codice proof-of-concept. Per fortuna, Apple ha già rilasciato una correzione per CVE-2022-26706, che è stato incluso negli aggiornamenti di sicurezza di maggio 16, 2022. Il credito di divulgazione è stato condiviso con il ricercatore di sicurezza Arsenii Kostromin che ha scoperto una tecnica simile in modo indipendente, Microsoft ha detto.
CVE-2022-26706: Descrizione tecnica
Secondo la descrizione tecnica del National Vulnerability Database, la vulnerabilità è un problema di accesso risolto con ulteriori restrizioni sandbox su applicazioni di terze parti. La vulnerabilità è stata corretta in iPadOS 15.5, watchos 8.6, macOS Big Sur 11.6.6, macOS Monterey 12.4.
Microsoft ha riscontrato il problema durante la ricerca di potenziali modi per eseguire e rilevare macro dannose in Microsoft Office su macOS.
“Per la compatibilità con le versioni precedenti, Microsoft Word può leggere o scrivere file con un prefisso "~$".. I nostri risultati hanno rivelato che era possibile sfuggire alla sandbox sfruttando i servizi di avvio di macOS per eseguire un comando open –stdin su un file Python appositamente predisposto con il suddetto prefisso," ha spiegato il gigante della tecnologia.
La ricerca mostra che anche il built-in, le funzionalità di sicurezza di base in macOS potrebbero ancora essere ignorate. Collaborazione tra ricercatori sulla vulnerabilità, fornitori di software, e la più ampia comunità di sicurezza rimane cruciale per aiutare a proteggere l'esperienza utente complessiva, Microsoft aggiunto.
È interessante notare che a giugno 2022, hanno scoperto i ricercatori della sicurezza una nuova tecnica di evasione sandbox. Chiamato martellamento API, la tecnica prevede l'uso di un gran numero di chiamate alle API di Windows per ottenere una condizione di sospensione estesa. Quest'ultimo aiuta a eludere il rilevamento negli ambienti sandbox. La scoperta arriva dall'Unità di Palo Alto 42 ricercatori. Il team si è imbattuto in campioni Zloader e BazarLoader che utilizzavano la suddetta tecnica di martellamento API.