A Apple corrigiu recentemente uma falha de dia zero no macOS que poderia contornar as proteções antimalware do sistema operacional. A pesquisa também mostra que uma variante do conhecido malware Shlayer já explora a falha há vários meses.
Visão geral técnica de dia zero CVE-2021-30657
A vulnerabilidade foi descoberta pelo pesquisador de segurança Cedric Owens, e foi rastreado CVE-2021-30657. Conforme explicado por Patrick Wardle, que foi solicitado por Owens para fornecer uma análise mais profunda, a vulnerabilidade contorna trivialmente muitos mecanismos de segurança da Apple, criando uma grande ameaça para usuários de Mac.
O exploit foi testado no macOS Catalina 10.15, e nas versões Big Sur antes 11.3. Um relatório foi submetido à Apple em março 25.
“Esta carga útil pode ser usada em phishing e tudo que a vítima precisa fazer é clicar duas vezes para abrir o .dmg e clicar duas vezes no aplicativo falso dentro do .dmg - nenhum pop-up ou aviso do macOS são gerados,”Owens explicado em seu blog do Medium.
Quanto à análise mais extensa de Wardle, revelou que o bug CVE-2021-30657 poderia ignorar três proteções anti-malware principais no macOS - Quarentena de arquivo, porteiro, e notarização. Vale ressaltar que a notarização é o recurso de segurança mais recente dos três, introduzido no macOS Catalina (10.15). O recurso apresenta a Notarização de Aplicativos, que deve garantir que a Apple tenha verificado e aprovado todos os aplicativos antes que eles possam ser executados.
Ameaça tripla dia zero
disse brevemente, o dia zero é uma ameaça tripla que permite que o malware entre no sistema livremente. Para fazê-lo, a exploração aciona um movimento, um bug lógico no código subjacente do macOS de uma forma que descaracteriza certos pacotes de aplicativos e ignora as verificações de segurança regulares, de acordo com a explicação de Wardle. Isso é possível devido à maneira como os aplicativos macOS identificam os arquivos - como pacotes em vez de arquivos diferentes. Os pacotes contêm uma lista de propriedades que instruem o aplicativo sobre os locais específicos dos arquivos de que ele precisa.
“Qualquer aplicativo baseado em script que não contenha um arquivo Info.plist será classificado incorretamente como‘ não é um pacote ’e, portanto, poderá ser executado sem alertas ou prompts,”Wardle adicionou.
Uma análise posterior fornecida pela empresa Jamf revelou que a vulnerabilidade já foi usada em ataques reais.
“Malware Shlayer detectado permite que um invasor contorne o Gatekeeper, Tecnologias de segurança de notarização e quarentena de arquivos no macOS. A exploração permite que software não aprovado seja executado no Mac e seja distribuído por meio de sites comprometidos ou resultados de mecanismos de pesquisa envenenados,”Os pesquisadores do Jamf confirmaram.
Ataques anteriores de malware do Shlayer
o Malware Shlayer já foi conhecido por desativar o Gatekeeper em ataques contra usuários macOS. Shlayer é um malware multi-estágio, capaz de adquirir recursos de escalonamento de privilégios. Foi descoberto pela primeira vez em fevereiro 2018 por pesquisadores da Intego.
É também digno de nota que Shlayer foi previamente distribuído em campanhas de malvertising em grande escala, em que aproximadamente 1 milhões de sessões de usuário foram potencialmente expostas.
Para prevenir os ataques, os usuários devem atualizar seus sistemas macOS imediatamente.