MacOS é acreditado geralmente para ser à prova de balas contra ataques de malware. Infelizmente, as estatísticas revelam um quadro diferente onde o sistema operacional da Apple é encontrado frequentemente vulneráveis. Por exemplo, no 2017 pesquisadores de segurança detectou um aumento de 28.83 porcentagem do total de falhas de segurança relatadas em comparação com 2016. No 2022, A Apple já lançou vários patches de emergência que abordam vulnerabilidades perigosas de dia zero.
além disso, o número de campanhas ativas de malware contra Macs está crescendo. Os Macs são frequentemente ameaçados por programas potencialmente indesejados, como as inúmeras variantes do popular Família de bundleware AdLoad que reduzem seu desempenho geral e comprometem sua privacidade. Mas os Macs também são visados de longe campanhas maliciosas mais sérias que soltam Trojans como OSX.Calisto e vermes como backdoor:OSX / Iworm.
Por que é crucial prestar atenção às vulnerabilidades no macOS, e o software da Apple em geral? Se vulnerabilidades foram expostas em qualquer sistema operacional, o sistema se torna suscetível a ataques de malware. macOS não é uma exclusão.
Que tipos de vulnerabilidades se escondem no macOS? Vamos descobrir…
Vulnerabilidades de execução de código
Vejamos as vulnerabilidades de execução de código que têm aumentado no macOS - elas podem ser acionadas remotamente e podem ser usadas em vários cenários maliciosos. Este tipo de falha de segurança é favorecido pelos agentes de ameaças porque permite que eles contornem a autenticação e executem qualquer tipo de código. Isso pode acontecer secretamente, sem o conhecimento do usuário.
Essa vulnerabilidade foi descoberta no Xcode para macOS High Sierra em junho 2019. não é de surpreender, a falha pode permitir a execução arbitrária de código, avisou Pesquisadores de segurança CIS.
O que é o Xcode? É um ambiente de desenvolvimento integrado que contém um conjunto de ferramentas de desenvolvimento de software criado pela Apple. Em caso de exploração, esta vulnerabilidade pode levar à execução arbitrária de código dentro do aplicativo. Como um resultado, o invasor pode obter os mesmos privilégios do usuário conectado. As restrições de segurança também podem ser facilmente contornadas. Dependendo do nível de privilégios, o invasor pode instalar programas, adulterar dados no dispositivo, e criar novas contas com direitos totais de usuário.
Um exemplo mais recente de execução remota de código vulnerabilidades incluem CVE-2022-22674 e CVE-2022-22675 no iOS e iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1, e watchOS 8.5.1.
Vulnerabilidades de roubo de dados
A empresa de segurança F-Secure revelou recentemente uma perigosa exploração de firmware que afetou quase todos os laptops e desktops Mac e Windows. Esta vulnerabilidade pode levar ao roubo de dados, e até deixou Macs com FileVault ativado suscetível, TechCrunch informou.
A exploração do firmware resultou da maneira como quase todas as máquinas Mac ou Windows sobrescrevem dados quando estão desligadas. A vulnerabilidade foi baseada no chamado ataque de inicialização a frio, em que os atores da ameaça podem coletar dados de um computador desligado.
O problema foi descoberto pelos pesquisadores da F-Secure Olle Segerdahl e Pasi Saarinen. Mesmo que a vulnerabilidade exigisse acesso físico para alavancá-la, não deve ser esquecido. Pelo menos, esta exploração mostra que os sistemas operacionais da Microsoft e da Apple têm problemas semelhantes, apesar da crença amplamente divulgada de que um é mais seguro do que o outro.
Vulnerabilidades de dia zero do MacOS
em agosto, 2018, o conhecido pesquisador de segurança Patrick Wardle descobriu um dia zero no software da Apple apenas alterando algumas linhas de código. Uma demonstração durante a conferência Defcon em Las Vegas mostrou que esta vulnerabilidade pode ser facilmente usada por agentes de ameaças em operações de malware. A vulnerabilidade é classificada como uma deficiência do design do sistema operacional e rastreada no comunicado CVE-2017-7150.
O dia zero é acionado pelo abuso da interface do usuário por meio de uma nova técnica que gera "cliques sintéticos" emulando o comportamento do usuário. Isso permite que os agentes da ameaça ignorem automaticamente as notificações e avisos, enganando o sistema.
Em vez de emular o próprio movimento do mouse (que já foi usado em malware anterior), esta técnica se baseia em um recurso chamado teclas do mouse, que converte a interação do teclado em ações do mouse. Isso é acionado pressionando teclas específicas no teclado que, por sua vez, são interpretadas pelo sistema operacional como pressionamentos do mouse, e aceitos como movimentos regulares do usuário, passando assim por alertas de segurança.
Aqui está a descrição oficial da vulnerabilidade:
Foi descoberto um problema em alguns produtos Apple. macOS antes 10.13 A atualização suplementar é afetada. O problema envolve o componente “Segurança”. Ele permite que os invasores ignorem o prompt de acesso das chaves, e, consequentemente, extrair senhas, por meio de um clique sintético.
Um exemplo mais recente de uma vulnerabilidade de dia zero é CVE-2022-22675, descrito como um problema de gravação fora dos limites no componente AppleAVD. Este último é uma extensão do kernel usada para decodificação de áudio e vídeo. A vulnerabilidade pode permitir que aplicativos executem código arbitrário com privilégios de kernel.
Vulnerabilidades de negação de serviço
Várias vulnerabilidades de segurança foram relatadas no Apple macOS há alguns anos. Conforme explicado no alerta de segurança, “Um problema foi descoberto em certos produtos da Apple. iOS antes 11.4 é afetado. macOS antes 10.13.5 é afetado. tvOS antes 11.4 é afetado. watchOS antes 4.3.1 é afetado ”.
Parece que os problemas envolveram o pktmnglr_ipfilter_input em com.apple.packet-mangler no “Núcleo” componente. Um invasor remoto pode executar código arbitrário em um conteúdo privilegiado ou causar uma condição de negação de serviço com a ajuda de um aplicativo especialmente criado. restrições de segurança também podem ser contornadas.
Deve-se notar que a pontuação de segurança para este conjunto de falhas é bastante alta - 9.3.
Vulnerabilidades de corrupção de memória no nível do kernel
No mês passado, os pesquisadores de segurança do Trustwave SpiderLabs descobriram uma vulnerabilidade do Webroot SecureAnywhere que pode permitir que os agentes da ameaça executem código malicioso no código do modo kernel local. A vulnerabilidade é atribuída ao aviso CVE-2018-16962 e é apelidada de “Webroot SecureAnywhere macOS Corrupção de memória no nível do kernel.”
Em termos técnicos, a vulnerabilidade arma um ator de ameaça com um gadget de kernel write-what-where com a ressalva de que o valor original da memória referenciada pelo ponteiro deve ser igual a (int) -1, Trustwave explicado.
A vulnerabilidade era local, o que significa que os ataques devem ser baseados na execução de código malicioso no sistema, ou táticas de engenharia social tiveram que ser implantadas para enganar os usuários e fazê-los executar o exploit. Isso torna a exploração mais complexa e demorada para os invasores, mas ainda é uma ameaça potencial para os usuários do macOS.