Nell’ultima versione di macOS 11.3 Big Sur, rilasciata lunedì scorso, Apple ha inserito gli aggiornamenti di sicurezza per sanare 60 vulnerabilità tra cui anche una zero-day già sfruttata attivamente dal malware Shlayer per bypassare i controlli di sicurezza Apple File Quarantine, Gatekeeper e Notarization e scaricare payload maligni sui sistemi compromessi.
La vulnerabilità zero-day in macOS, di tipo Elevation of Privilege (EoP, elevazione di privilegi), consente tra le altre cose anche di esfiltrare dati dal sistema compromesso.
Indice degli argomenti
macOS: i dettagli della vulnerabilità zero-day
La vulnerabilità, scoperta e segnalata dal ricercatore di sicurezza Cedric Owens e tracciata come CVE-2021-30657, è particolarmente pericolosa per gli utenti di macOS perché permette ad un attaccante di creare un payload in grado di bypassare molto facilmente i rigidi controlli di sicurezza del sistema operativo Apple.
Il payload è nascosto in una finta app contenuta all’interno di un file .dmg appositamente realizzato in grado di bypassare i requisiti di quarantena e notarizzazione (la procedura che dovrebbe consentire di certificare le applicazioni distribuite al di fuori dell’App Store impedendo che si trasformino, per l’appunto, in un malware) dei file di Apple.
Inoltre, secondo quanto riferito dalla stessa Apple, permette al malware di saltare la visualizzazione della finestra di dialogo di Gatekeeper e le relative procedure di rilevamento di codici malevoli.
La gravità di questa vulnerabilità zero-day è proprio qui: quando un utente scarica e apre un’app, un plugin o un pacchetto di installazione al di fuori dell’App Store, Gatekeeper verifica che il software provenga da uno sviluppatore identificato, che sia privo di contenuti dannosi noti e che non sia stato “alterato”.
Gatekeeper, inoltre, richiede anche l’approvazione dell’utente prima di aprire il software scaricato per la prima volta per assicurarsi che l’utente non sia stato ingannato nell’eseguire un codice eseguibile che credeva essere semplicemente un file di dati.
Presumibilmente, quindi, lo sfruttamento della vulnerabilità zero-day consente al malware di saltare quest’ultima parte della procedura di controllo di Gatekeeper e gli attaccanti possono quindi utilizzare l’exploit per rendere inutili molte delle misure di protezione che il computer prende per garantire che i file scaricati non siano malware.
Per dimostrare la semplicità con cui lo sfruttamento della vulnerabilità zero-day in macOS permette ad un attaccante di bypassare i controlli di sicurezza del sistema, l’esperto di sicurezza Patrick Wardle ha realizzato un Proof of Concept in cui mostra come, utilizzando un finto PDF è possibile avviare la calcolatrice.
Possibili soluzioni di mitigazione
La vulnerabilità zero-day in macOS interessa le seguenti versioni del sistema operativo e alcune componenti software:
- MacOS Big Sur, versioni precedenti alla 11.3
- APFS
- AppleMobileFileIntegrity
- Apple Neural Engine
- Archive Utility
- Audio
- CFNetwork
- CoreAudio
- CoreFoundation
- CoreGraphics
- CoreText
- curl
- DiskArbitration
- FaceTime
- FontParser
- Foundation
- Heimdal
- ImageIO
- Installer
- Intel Graphics Driver
- Kernel
- libxpc
- libxslt
- Login Window
- Notes
- NSRemoteView
- Preferences
- Safari
- SampleAnalysis
- smbx
- System Preferences
- tcpdump
- Time Machine
- WebKit
- WebKit Storage
- WebRTC
- Wi-Fi
- Windows Server
È comunque importante sottolineare che per sfruttare questo bug è necessario che l’utente clicchi o scarichi qualcosa (ingenuamente o involontariamente), ma si tratta comunque di una garanzia parziale.
Comunque sia, per correggere la vulnerabilità è importante aggiornare il prima possibile il sistema operativo alla versione 11.3 che corregge questo specifico problema di sicurezza.
Tuttavia, è altrettanto importante prestare sempre la massima attenzione prima di scaricare da Internet file non certificati.
Per ottenere tutte le informazioni utili sulle altre vulnerabilità corrette con il rilascio di macOS Big Sur 11.3 è possibile fare riferimento al bollettino di sicurezza pubblicato sul sito del CERT-Italia.
