Redazione RHC : 7 Luglio 2025 14:28
Gli esperti hanno identificato gravi vulnerabilità in SMBClient per macOS che interessano sia lo spazio utente che il kernel del sistema operativo. Queste vulnerabilità consentono potenzialmente l’esecuzione remota di codice arbitrario e l’interruzione di processi di sistema critici. Durante l’analisi, è emerso chiaramente che un’ampia gamma di utenti è a rischio, dato che a partire da macOS Big Sur, il protocollo SMB è diventato il metodo preferito per organizzare la condivisione di file in rete.
SMBClient è un insieme di componenti, che include sia processi utente che driver del kernel, progettati per funzionare con file system accessibili tramite risorse di rete. Una parte significativa del codice client SMB interagisce direttamente con il kernel del sistema, il che apre ulteriori vettori di attacco. Inoltre, è possibile sfruttare le vulnerabilità con un intervento minimo dell’utente: è sufficiente costringere una persona a seguire un collegamento appositamente predisposto del tipo smb://.
La prima delle vulnerabilità scoperte è il CVE-2025-24269 (punteggio CVSS: 9,8) ed è correlata al componente smbfs.kext, il driver del kernel macOS per l’utilizzo di SMB. Il problema risiede nella funzione di elaborazione dei dati compressi smb2_rq_decompress_read, dove in alcuni casi la lunghezza dei dati in ingresso viene verificata in modo errato. Se viene utilizzato uno degli algoritmi di compressione supportati – LZNT1, LZ77 o LZ77_Huffman – il campo speciale compress_len viene letto dal pacchetto di rete, ma il suo valore non viene convalidato in alcun modo prima di copiare i dati nel buffer compress_startp. Allo stesso tempo, la macro SMB_MALLOC_DATA, utilizzata per allocare la memoria, consente a un aggressore di controllare la dimensione del blocco allocato, che può raggiungere fino a 16 megabyte.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Di conseguenza, si verifica un overflow di memoria dinamica all’interno dell’heap dati xnu, un’area della memoria del kernel in cui la presenza di puntatori di controllo è limitata da meccanismi di protezione aggiuntivi, ma è impossibile escludere completamente la possibilità di sfruttare tale difetto. Gli esperti sottolineano che, per un attacco riuscito, è sufficiente convincere l’utente a cliccare su un collegamento smb:// dannoso, che consentirà all’attaccante di avviare l’interazione con il server vulnerabile e attivare la trasmissione di pacchetti appositamente preparati.
La seconda vulnerabilità, identificata come CVE-2025-24235 (punteggio CVSS: 5,5), riguarda la libreria Kerberos Helper utilizzata per stabilire una sessione SMB. Qui è stato rilevato un classico errore di sicurezza: la liberazione di una variabile di stack non inizializzata. Durante l’analisi dei token di autenticazione nella funzione _KRBDecodeNegTokenInit, potrebbe verificarsi una situazione in cui la chiamata interna a _gss_decapsulate_token fallisce. Tuttavia, anche in questo caso, il controllo viene trasferito al blocco di rilascio della memoria, dove la funzione _free_NegotiationToken opera con un’area di stack non inizializzata.
Un’analisi più approfondita ha mostrato che il processo di liberazione della memoria richiama la funzione _asn1_free della libreria Heimdal, progettata per analizzare e cancellare le strutture ASN.1. Poiché la struttura da liberare non è stata inizializzata, sussiste il rischio di un accesso incontrollato alla memoria, che potrebbe potenzialmente portare all’esecuzione di codice arbitrario sul dispositivo della vittima. Per un attacco riuscito, è sufficiente utilizzare meccanismi di connessione standard, ad esempio seguendo un collegamento smb:// o montando una risorsa tramite mount_smbfs.
La terza vulnerabilità, sebbene non abbia ricevuto un identificativo CVE ufficiale, è comunque considerata critica. È correlata a un’implementazione errata del meccanismo di registrazione del processo mc_notifier nel modulo smbfs. Questo servizio è responsabile delle notifiche quando le risorse di rete vengono smontate. Un utente con qualsiasi livello di privilegio può registrare un identificativo di processo arbitrario utilizzando la richiesta ioctl SMBIOC_UPDATE_NOTIFIER_PID. Se la risorsa viene quindi smontata, il kernel di sistema invierà al processo registrato un segnale SIGTERM, ovvero la terminazione standard.
Il problema è che il kernel non verifica i permessi del processo chiamante né la correttezza dell’identificatore specificato. Ciò consente a un aggressore di terminare quasi tutti i processi del sistema, incluso il processo critico launchd, responsabile dell’avvio e della gestione di tutti i servizi utente e di sistema. Di conseguenza, il sistema si trova in uno stato inoperativo e richiede un riavvio. Allo stesso tempo, per sfruttare questa vulnerabilità, è sufficiente avere accesso al dispositivo e la possibilità di aprire il dispositivo /dev/nsmb, operazione possibile nella maggior parte degli scenari anche senza uscire dall’isolamento utente (sandbox).
Apple ha già risolto tutte e tre le vulnerabilità. In particolare, è stato aggiunto un controllo della lunghezza del blocco di dati compressi alla funzione di elaborazione dei pacchetti SMB per prevenire la possibilità di un overflow di memoria. Inoltre, la libreria Kerberos Helper ora pulisce preventivamente la struttura NegotiationToken prima di utilizzarla e liberarla, impedendo così lo sfruttamento del difetto. Per il meccanismo di registrazione mc_notifier, è stato implementato un controllo dei permessi dell’utente che richiama l’ioctl SMBIOC_UPDATE_NOTIFIER_PID, che elimina la possibilità di terminazione incontrollata di processi arbitrari.
RedazioneIn un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...
Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...
Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...
Qualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore ...
