A Microsoft divulgou recentemente um vulnerabilidade MacOS, identificado como CVE-2022-26706, que pode permitir que códigos especialmente criados escapem do App Sandbox e executem sem restrições. As descobertas foram compartilhadas com a Apple por meio dos programas Coordinated Vulnerability Disclosure e Microsoft Security Vulnerability Research..
Um código de prova de conceito também está disponível. Felizmente, A Apple já lançou uma correção para o CVE-2022-26706, que foi incluído nas atualizações de segurança em maio 16, 2022. O crédito de divulgação foi compartilhado com o pesquisador de segurança Arsenii Kostromin, que descobriu uma técnica semelhante de forma independente, Microsoft disse.
CVE-2022-26706: Descrição técnica
De acordo com a descrição técnica do National Vulnerability Database, a vulnerabilidade é um problema de acesso resolvido com restrições adicionais de sandbox em aplicativos de terceiros. A vulnerabilidade foi corrigida no iPadOS 15.5, watchOS 8.6, macOS Big Sur 11.6.6, macOS Monterey 12.4.
A Microsoft encontrou o problema ao pesquisar possíveis maneiras de executar e detectar macros maliciosas no Microsoft Office no macOS.
“Para compatibilidade com versões anteriores, O Microsoft Word pode ler ou gravar arquivos com um prefixo “~$”. Nossas descobertas revelaram que era possível escapar do sandbox aproveitando os serviços de inicialização do macOS para executar um comando open –stdin em um arquivo Python especialmente criado com o referido prefixo,” explicou o gigante da tecnologia.
A pesquisa mostra que mesmo o built-in, recursos de segurança básicos no macOS ainda podem ser ignorados. Colaboração entre pesquisadores de vulnerabilidade, fornecedores de software, e a comunidade de segurança maior continua sendo crucial para ajudar a proteger a experiência geral do usuário, Microsoft adicionado.
Vale ressaltar que em junho 2022, pesquisadores de segurança descobriram uma nova técnica de evasão de sandbox. Chamado de martelar API, a técnica envolve o uso de um grande número de chamadas para APIs do Windows para obter uma condição de suspensão estendida. O último ajuda a evitar a detecção em ambientes sandbox. A descoberta vem da Unidade de Palo Alto 42 pesquisadores. A equipe encontrou amostras do Zloader e do BazarLoader que usavam a referida técnica de martelar API.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: