Explorar ativamente as defesas de segurança básicas esterilizadas do Mac OS 0 dias

Explorar ativamente as defesas de segurança básicas esterilizadas do Mac OS 0 dias

Getty Images

Quando a Apple lançou a última versão 11.3 para macOS na segunda-feira, ela não apenas introduziu suporte para novos recursos e otimizações. Mais importante, a empresa corrigiu uma vulnerabilidade de dia zero que os hackers exploraram ativamente para instalar malware sem acionar os mecanismos básicos de segurança do Mac, alguns dos quais já existiam há mais de uma década.

Juntas, as defesas fornecem um conjunto abrangente de proteções projetadas para evitar que os usuários instalem inadvertidamente malware em seus Macs. Embora as explorações de um clique e até mesmo de nenhum clique merecidamente recebam muita atenção, é muito mais comum ver aplicativos trojanizados disfarçando malware como um jogo, atualização ou outro software desejável.

Proteja os usuários de si mesmos

Os engenheiros da Apple sabem que os cavalos de Tróia representam uma ameaça maior para a maioria dos usuários de Mac do que explorações mais sofisticadas que instalam malware clandestinamente com mínima ou nenhuma interação do usuário. Assim, uma parte essencial da segurança do Mac depende de três mecanismos relacionados:

  • Colocar arquivos em quarentena requer confirmação explícita do usuário antes que um arquivo baixado da Internet possa ser executado.
  • O Gatekeeper bloqueia a instalação de aplicativos, a menos que sejam assinados por um desenvolvedor conhecido da Apple.
  • A notarização obrigatória de aplicativos permite que os aplicativos sejam instalados somente depois que a Apple os verificar em busca de malware.

No início deste ano, o malware bem conhecido dos especialistas em segurança do Mac começou a explorar uma vulnerabilidade que lhe permitiu remover completamente os três mecanismos. Chamado de Shlayer, ele tem um histórico impressionante nos três anos desde seu lançamento.

Em setembro passado, por exemplo, ele conseguiu passar na verificação de segurança exigida pela Apple para que os aplicativos sejam autenticados. Dois anos atrás, ele foi entregue como parte de uma campanha sofisticada que usava uma nova esteganografia para evitar a detecção de malware. E no ano passado, a Kaspersky declarou que o Shlayer foi o malware para Mac mais detectado pelos produtos da empresa, com quase 32.000 variantes diferentes identificadas.

Fuga inteligente

Outro feito impressionante foi a mineração de Shlayer do dia zero, que começou o mais tardar em janeiro. Em vez de usar o formato Mach-O padrão para um executável Mac, o componente executável desse ataque era o macOS equivalente a um script bash, que executa uma série de comandos de linha em uma ordem específica.

Normalmente, os scripts baixados da Internet são classificados como pacotes de aplicativos e estão sujeitos aos mesmos requisitos de outros tipos de executáveis. Um hack simples, no entanto, permitiu que os scripts escapassem totalmente a esses requisitos.

Ao remover o arquivo info.plist, um arquivo de texto estruturado que mapeia a localização dos arquivos dos quais depende, o script não é mais salvo como um pacote executável no macOS. Em vez disso, o arquivo foi tratado como um PDF ou algum outro tipo de arquivo não executável que não foi enviado ao Gatekeeper e outros mecanismos.

Um dos ataques começou com um anúncio de uma atualização falsa do Adobe Flash:

Jamf

Os vídeos abaixo mostram a grande diferença que o feito fez quando alguém mordeu a isca e clicou para baixar. O vídeo abaixo mostra o que o espectador viu depois que as restrições foram removidas. O que está abaixo mostra como a atualização teria parecido mais suspeita se as restrições estivessem em vigor.

Ataque Shlayer com exploit de CVE-2021-30657.

Ataque Shlayer sem explorar CVE-2021-30657.

O bug, que é rastreado como CVE-2021-30657, foi descoberto e relatado à Apple pelo pesquisador de segurança Cedric Owens. Ele disse que topou com isso ao usar uma ferramenta de desenvolvimento chamada Appify enquanto pesquisava para um exercício de “equipe vermelha”, no qual os hackers simulam um ataque real para tentar encontrar pontos fracos. Segurança anteriormente negligenciada.

“Descobri que o Appify foi capaz de transformar um script de shell em um ‘aplicativo’ clicável duas vezes (na verdade, apenas um script de shell dentro da estrutura de diretório do aplicativo macOS, mas o macOS o tratou como um aplicativo)”, escreveu ele em uma mensagem direta. “E uma vez executado, ele contorna o Guardião. Na verdade, eu relatei muito rapidamente depois de descobrir e não usei em um exercício de equipe vermelha ao vivo. “

A Apple corrigiu a vulnerabilidade com o lançamento do macOS 11.3 na segunda-feira. Owens disse que a falha parece ter existido desde que o macOS 10.15 foi lançado em junho de 2019, quando o reconhecimento de firma foi introduzido.

Owens discutiu o bug com Patrick Wardle, um especialista em segurança do Mac que já trabalhou na Jamf, um fornecedor de segurança corporativa para Mac. Wardle então contatou pesquisadores da Jamf, que descobriram a variante Shlayer que explorava a vulnerabilidade antes que fosse conhecida pela Apple ou pela maior parte do mundo da segurança.

“Uma de nossas detecções alertou-nos para esta nova variante e, após uma inspeção mais aprofundada, descobrimos o uso desse bypass para permitir que fosse instalado sem a solicitação do usuário final”, disse-me Jaron Bradley, pesquisador da Jamf. “Uma análise mais aprofundada nos leva a acreditar que os desenvolvedores de malware descobriram o zeroday e ajustaram seu malware para usá-lo no início de 2021.”

Wardle desenvolveu um exploit de prova de conceito que mostrou como a variante Shlayer funciona. Depois de ser baixado da Internet, o script executável aparece como um arquivo PDF denominado Patrick’s Resume. Assim que alguém clica duas vezes no arquivo, ele inicia um arquivo chamado calculator.app. O exploit pode facilmente executar um arquivo malicioso.

Patrick Wardle

Em uma análise aprofundada de 12.000 palavras que explora as causas e efeitos das explorações, Wardle concluiu:

Embora esse bug já tenha sido corrigido, ele ilustra claramente (mais uma vez) que o macOS não é imune a falhas superficiais incríveis, mas extremamente contundente. Quão raso? Bem, o fato de que uma ferramenta de desenvolvedor legítima (appify) acionaria inadvertidamente o bug é além do riso (e triste).

E que impacto? Basicamente, a segurança do macOS (no contexto da avaliação de aplicativos iniciados pelo usuário, que, vamos lembrar, é responsável pela grande maioria das infecções do macOS) foi completamente discutida.

Bradley postou um artigo que conta como a façanha parecia e funcionou.

Muitas pessoas consideram malware como o Shlayer pouco sofisticado porque confia na trapaça de suas vítimas. Para dar o devido crédito ao Shlayer, o malware é muito eficaz, em grande parte devido à sua capacidade de suprimir as defesas do macOS projetadas para avisar os usuários antes que eles sejam acidentalmente infectados. Aqueles que desejam saber se foram alvos deste exploit podem baixar este script python escrito por Wardle.

About admin

Check Also

Em breve, o Microsoft Edge permitirá que você envie guias entre o Windows 10 e o Android

O navegador Edge da Microsoft rapidamente se tornou um dos navegadores de desktop mais populares. …

Leave a Reply

Your email address will not be published. Required fields are marked *