Apple ha recentemente risolto una vulnerabilità di sicurezza nel sistema operativo macOS che potrebbe essere stata potenzialmente sfruttata da un attore minaccioso per bypassare semplicemente una “miriade di meccanismi di sicurezza macOS fondamentali” ed eseguire un codice arbitrario.
Il ricercatore di sicurezza Patrick Wardle ha dettagliato la scoperta in una serie di tweet. Tracciato come CVE-2021-30853 (punteggio CVSS: 5.5), il problema si riferisce a uno scenario in cui un’app rogue macOS può eludere i controlli Gatekeeper, che assicurano che solo le app di fiducia possono essere eseguite e che hanno superato un processo automatizzato chiamato “app notarization“.
Il produttore degli iPhone di Cupertino ha dichiarato di aver affrontato la debolezza con controlli migliorati come parte degli aggiornamenti di macOS 11.6 rilasciati ufficialmente il 20 settembre 2021.
“Tali bug sono spesso particolarmente impattanti per gli utenti quotidiani di macOS, in quanto forniscono un mezzo agli autori di adware e malware di aggirare i meccanismi di sicurezza di macOS, … meccanismi che altrimenti ostacolerebbero i tentativi di infezione“, ha detto Wardle in una scrittura tecnica del difetto.
In particolare, il bug non solo aggira Gatekeeper, ma anche File Quarantine e i requisiti di autenticazione di macOS, permettendo effettivamente ad un file PDF apparentemente innocuo di compromettere l’intero sistema semplicemente aprendolo. Secondo Wardle, il problema è radicato nel fatto che un’applicazione basata su script non firmata e non autenticata non può specificare esplicitamente un interprete, risultando in un bypass completo.
In altre parole, gli attori delle minacce possono sfruttare questa falla ingannando i loro obiettivi ad aprire un’app canaglia che può essere camuffata come aggiornamenti di Adobe Flash Player o versioni troianizzate di app legittime come Microsoft Office, che, a sua volta, può essere consegnata attraverso un metodo chiamato search poisoning dove gli attaccanti aumentano artificialmente il ranking dei motori di ricerca dei siti web che ospitano il loro malware per attirare potenziali vittime.
Questa non è la prima volta che sono stati scoperti difetti nel processo Gatekeeper. All’inizio di questo aprile, Apple si è mossa per patchare rapidamente una falla zero-day attivamente sfruttata (CVE-2021-30657) che avrebbe potuto aggirare tutte le protezioni di sicurezza, permettendo così al software non approvato di essere eseguito sui Mac.
Poi in ottobre, Microsoft ha rivelato una vulnerabilità soprannominata “Shrootless” (CVE-2021-30892), che potrebbe essere stata sfruttata per eseguire operazioni arbitrarie, elevare i privilegi a root e installare rootkit su dispositivi compromessi. Apple ha detto che ha rimediato al problema con ulteriori restrizioni come parte degli aggiornamenti di sicurezza compresi nella versione del suo sistema operativo il 26 ottobre 2021.
