Casa > cibernético Notícias > CVE-2021-30657 macOS Zero-Day Exploited by Shlayer Malware
CYBER NEWS

CVE-2021-30657 macOS Zero-Day Exploited by Shlayer Malware

CVE-2021-30657-zero-day-sensorstechforum
A Apple corrigiu recentemente uma falha de dia zero no macOS que poderia contornar as proteções antimalware do sistema operacional. A pesquisa também mostra que uma variante do conhecido malware Shlayer já explora a falha há vários meses.

Visão geral técnica de dia zero CVE-2021-30657

A vulnerabilidade foi descoberta pelo pesquisador de segurança Cedric Owens, e foi rastreado CVE-2021-30657. Conforme explicado por Patrick Wardle, que foi solicitado por Owens para fornecer uma análise mais profunda, a vulnerabilidade contorna trivialmente muitos mecanismos de segurança da Apple, criando uma grande ameaça para usuários de Mac.




O exploit foi testado no macOS Catalina 10.15, e nas versões Big Sur antes 11.3. Um relatório foi submetido à Apple em março 25.

“Esta carga útil pode ser usada em phishing e tudo que a vítima precisa fazer é clicar duas vezes para abrir o .dmg e clicar duas vezes no aplicativo falso dentro do .dmg - nenhum pop-up ou aviso do macOS são gerados,”Owens explicado em seu blog do Medium.

Quanto à análise mais extensa de Wardle, revelou que o bug CVE-2021-30657 poderia ignorar três proteções anti-malware principais no macOS - Quarentena de arquivo, porteiro, e notarização. Vale ressaltar que a notarização é o recurso de segurança mais recente dos três, introduzido no macOS Catalina (10.15). O recurso apresenta a Notarização de Aplicativos, que deve garantir que a Apple tenha verificado e aprovado todos os aplicativos antes que eles possam ser executados.

Ameaça tripla dia zero

disse brevemente, o dia zero é uma ameaça tripla que permite que o malware entre no sistema livremente. Para fazê-lo, a exploração aciona um movimento, um bug lógico no código subjacente do macOS de uma forma que descaracteriza certos pacotes de aplicativos e ignora as verificações de segurança regulares, de acordo com a explicação de Wardle. Isso é possível devido à maneira como os aplicativos macOS identificam os arquivos - como pacotes em vez de arquivos diferentes. Os pacotes contêm uma lista de propriedades que instruem o aplicativo sobre os locais específicos dos arquivos de que ele precisa.

“Qualquer aplicativo baseado em script que não contenha um arquivo Info.plist será classificado incorretamente como‘ não é um pacote ’e, portanto, poderá ser executado sem alertas ou prompts,”Wardle adicionou.
Uma análise posterior fornecida pela empresa Jamf revelou que a vulnerabilidade já foi usada em ataques reais.

“Malware Shlayer detectado permite que um invasor contorne o Gatekeeper, Tecnologias de segurança de notarização e quarentena de arquivos no macOS. A exploração permite que software não aprovado seja executado no Mac e seja distribuído por meio de sites comprometidos ou resultados de mecanismos de pesquisa envenenados,”Os pesquisadores do Jamf confirmaram.

Ataques anteriores de malware do Shlayer

o Malware Shlayer já foi conhecido por desativar o Gatekeeper em ataques contra usuários macOS. Shlayer é um malware multi-estágio, capaz de adquirir recursos de escalonamento de privilégios. Foi descoberto pela primeira vez em fevereiro 2018 por pesquisadores da Intego.

É também digno de nota que Shlayer foi previamente distribuído em campanhas de malvertising em grande escala, em que aproximadamente 1 milhões de sessões de usuário foram potencialmente expostas.

Para prevenir os ataques, os usuários devem atualizar seus sistemas macOS imediatamente.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...