Casa > cibernético Notícias > CVE-2021-30657 macOS Zero-Day Exploited by Shlayer Malware
CYBER NEWS

CVE-2021-30657 macOS Zero-Day Exploited by Shlayer Malware

CVE-2021-30657-zero-day-sensorstechforum
A Apple corrigiu recentemente uma falha de dia zero no macOS que poderia contornar as proteções antimalware do sistema operacional. A pesquisa também mostra que uma variante do conhecido malware Shlayer já explora a falha há vários meses.

Visão geral técnica de dia zero CVE-2021-30657

A vulnerabilidade foi descoberta pelo pesquisador de segurança Cedric Owens, e foi rastreado CVE-2021-30657. Conforme explicado por Patrick Wardle, que foi solicitado por Owens para fornecer uma análise mais profunda, a vulnerabilidade contorna trivialmente muitos mecanismos de segurança da Apple, criando uma grande ameaça para usuários de Mac.




O exploit foi testado no macOS Catalina 10.15, e nas versões Big Sur antes 11.3. Um relatório foi submetido à Apple em março 25.

“Esta carga útil pode ser usada em phishing e tudo que a vítima precisa fazer é clicar duas vezes para abrir o .dmg e clicar duas vezes no aplicativo falso dentro do .dmg - nenhum pop-up ou aviso do macOS são gerados,”Owens explicado em seu blog do Medium.

Quanto à análise mais extensa de Wardle, revelou que o bug CVE-2021-30657 poderia ignorar três proteções anti-malware principais no macOS - Quarentena de arquivo, porteiro, e notarização. Vale ressaltar que a notarização é o recurso de segurança mais recente dos três, introduzido no macOS Catalina (10.15). O recurso apresenta a Notarização de Aplicativos, que deve garantir que a Apple tenha verificado e aprovado todos os aplicativos antes que eles possam ser executados.

Ameaça tripla dia zero

disse brevemente, o dia zero é uma ameaça tripla que permite que o malware entre no sistema livremente. Para fazê-lo, a exploração aciona um movimento, um bug lógico no código subjacente do macOS de uma forma que descaracteriza certos pacotes de aplicativos e ignora as verificações de segurança regulares, de acordo com a explicação de Wardle. Isso é possível devido à maneira como os aplicativos macOS identificam os arquivos - como pacotes em vez de arquivos diferentes. Os pacotes contêm uma lista de propriedades que instruem o aplicativo sobre os locais específicos dos arquivos de que ele precisa.

“Qualquer aplicativo baseado em script que não contenha um arquivo Info.plist será classificado incorretamente como‘ não é um pacote ’e, portanto, poderá ser executado sem alertas ou prompts,”Wardle adicionou.
Uma análise posterior fornecida pela empresa Jamf revelou que a vulnerabilidade já foi usada em ataques reais.

“Malware Shlayer detectado permite que um invasor contorne o Gatekeeper, Tecnologias de segurança de notarização e quarentena de arquivos no macOS. A exploração permite que software não aprovado seja executado no Mac e seja distribuído por meio de sites comprometidos ou resultados de mecanismos de pesquisa envenenados,”Os pesquisadores do Jamf confirmaram.

Ataques anteriores de malware do Shlayer

o Malware Shlayer já foi conhecido por desativar o Gatekeeper em ataques contra usuários macOS. Shlayer é um malware multi-estágio, capaz de adquirir recursos de escalonamento de privilégios. Foi descoberto pela primeira vez em fevereiro 2018 por pesquisadores da Intego.

É também digno de nota que Shlayer foi previamente distribuído em campanhas de malvertising em grande escala, em que aproximadamente 1 milhões de sessões de usuário foram potencialmente expostas.

Para prevenir os ataques, os usuários devem atualizar seus sistemas macOS imediatamente.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo