Vulnerabilità critiche di macOS sotto i riflettori. Divulgati bug critici alla Def Con senza informare Apple

Redazione RHC : 15 Agosto 2023 08:56

Patrick Wardle, noto ricercatore di sicurezza macOS , ha presentato i risultati di uno studio nella recente conferenza Def Con, secondo cui lo strumento di rilevamento del malware Background Task Management integrato in macOS contiene diverse spiacevoli vulnerabilità.

Puoi usare tali vulnerabilità per bypassare il monitoraggio dell’esecuzione automatica dell’utilità di sistema di cui sopra, riducendone così l’efficacia. Lo strumento è stato aggiunto dagli specialisti di Cupertino a macOS Ventura nell’ottobre 2022.

Non esistono modi perfetti per rilevare il malware, ha affermato Wardle, poiché si tratta essenzialmente di software, proprio come qualsiasi altra applicazione. Pertanto, Apple e terze parti sviluppano costantemente nuovi meccanismi per rilevarli.

Background Task Management ha lo scopo di monitorare i programmi all’avvio del sistema. Nonostante il fatto che molti programmi legittimi utilizzino la funzione di esecuzione automatica, la comparsa inaspettata di nuove voci nell’esecuzione automatica può indicare attività dannose. Quando vengono rilevati tali eventi, lo strumento dovrebbe inviare notifiche all’utente e ai sistemi di sicurezza di terze parti.

Tuttavia, Wardle ha trovato diversi modi per aggirare il monitoraggio di questo strumento, anche senza ottenere l’accesso root. È interessante notare che il ricercatore ha deciso di divulgare le vulnerabilità identificate alla conferenza Def Con senza avvisare Apple in anticipo, che è una pratica classica nel campo del bug hunting.

Questa decisione è dovuta al fatto che Wardle aveva precedentemente informato l’azienda di altri difetti di questo strumento, che, sebbene eliminati dagli specialisti, non vedeva la cosa più importante: che era necessario un approccio più completo. In senso buono, la gestione delle attività in background deve essere riscritta da zero, tenendo conto di tutti i difetti di sicurezza noti.

Secondo Wardle, uno dei modi che ha scoperto per aggirare il monitoraggio richiede l’ottenimento dell’accesso root al dispositivo. È importante affrontare questa vulnerabilità perché a volte gli aggressori possono ottenere questo livello di accesso a un sistema e desiderano disabilitare gli avvisi per installare silenziosamente quanti più malware possibile su un computer.

Più preoccupante, tuttavia, è che Wardle ha trovato altri due modi per disabilitare gli avvisi dello strumento senza alcun accesso root. Uno di loro sfrutta un bug nell’interazione con il kernel del sistema operativo e l’altro sfrutta la capacità di sospendere i processi, disponibile anche per gli utenti ordinari. Questa funzione può essere utilizzata per interrompere l’invio delle notifiche prima che raggiungano l’utente.

Secondo il ricercatore, correggere queste vulnerabilità riporterà semplicemente la sicurezza di macOS al livello che era prima dell’avvento del Task Manager in background.

L’atto di Wardle non può essere definito giusto, perché con le sue azioni, infatti, ha indicato agli hacker dove è possibile attaccare su sistemi ancora privi di patch da parte di Apple.

Tuttavia, voleva dare un segnale che ora risulta difficile ignorare da parte dell’azienda di Cupertino. È del tutto possibile che in futuro Apple rielaborerà in modo significativo questo strumento in modo che soddisfi tutti i moderni standard di sicurezza.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli