Un bug del software consente al malware di aggirare le difese di sicurezza di macOS

Vecchio malware, nuovi trucchi

Apple ha impiegato anni a rafforzare macOS con nuove funzionalità di sicurezza per rendere più difficile l’inserimento di malware. Ma una vulnerabilità scoperta di recente ha superato la maggior parte delle protezioni di sicurezza più recenti di macOS.

Peggio ancora, le prove mostrano che una famigerata famiglia di malware per Mac ha sfruttato questa vulnerabilità per mesi prima che fosse poi patchata da Apple questa settimana.

Nel corso degli anni, i Mac si sono adattati per catturare i tipi più comuni di malware. In effetti, macOS contrassegna le app potenzialmente dannose mascherate da documenti scaricati da Internet. E se macOS non ha esaminato l’app o se non riconosce il suo sviluppatore, l’app non potrà essere scaricata ed eseguita senza l’intervento dell’utente.

Ma il ricercatore di sicurezza Cedric Owens ha affermato che il bug che ha trovato a metà marzo aggira questi controlli e consente l’esecuzione di un’app dannosa.

Owens ha detto che il bug gli ha permesso di creare un’app potenzialmente dannosa da sembrare un documento innocuo, che una volta aperto aggira le difese integrate di macOS.

“Tutto ciò che l’utente deve fare è il doppio clic, dopodichè non vengono generati prompt o avvisi di macOS”

Owens

Owens ha creato un’app proof-of-concept camuffata da documento innocuo che sfrutta il bug per avviare l’app calcolatrice, un modo per dimostrare che il bug funziona senza rilasciare malware. Ma un malintenzionato potrebbe sfruttare questa vulnerabilità per accedere da remoto ai dati sensibili di un utente semplicemente inducendo una vittima ad aprire un documento contraffatto.

L’app proof-of-concept camuffata da documento innocuo in esecuzione su un computer macOS senza patch. 

Temendo che gli aggressori potessero abusare di questa vulnerabilità, Owens ha segnalato il bug ad Apple.

Apple ha dichiarato di aver corretto il bug in macOS 11.3 e di aver patchato le versioni precedenti per prevenire gli abusi estendendo le regole aggiornate a XProtect, il motore anti-malware integrato di macOS, per impedire al malware di sfruttare la vulnerabilità.

Owens ha chiesto al ricercatore di sicurezza Mac Patrick Wardle di indagare su come e perché il bug funzioni in questo modo. In un post sul blog tecnico, Wardle ha spiegato che la vulnerabilità si attiva a causa di un bug logico nel codice sottostante di macOS. MacOS classificava erroneamente alcuni bundle e saltava i controlli di sicurezza, consentendo all’app di prova di Owens di funzionare senza particolari ostacoli.

In termini semplici, le app non sono un singolo file ma un insieme di file diversi, incluso un file di elenco delle proprietà che indica all’applicazione dove si trovano i file da cui dipende. Ma Owens ha scoperto che estraendo questo file e creando il pacchetto con una struttura particolare potrebbe indurre macOS ad aprire il pacchetto e ad eseguire il codice al suo interno senza attivare alcun avviso.

Wardle ha descritto il bug come “del tutto discutibile”. Ha confermato che gli aggiornamenti di sicurezza di Apple hanno risolto il bug.

“L’aggiornamento si tradurrà ora nella corretta classificazione delle applicazioni come bundle e garantirà che le applicazioni non attendibili e non notificate verranno (ancora una volta) bloccate e quindi l’utente protetto”

Wardle

Conoscendo come funziona il bug, Wardle ha chiesto alla società di sicurezza Mac Jamf di vedere se il bug fosse stato sfruttato prima della scoperta di Owens. Jaron Bradley, responsabile di Jamf, ha confermato che un campione della famiglia di malware Shlayer che sfrutta il bug è stato catturato all’inizio di gennaio, diversi mesi prima della scoperta di Owens. Jamf ha anche pubblicato un post riguardo a questo malware.

“Il malware che abbiamo scoperto utilizzando questa tecnica è una versione aggiornata di Shlayer, una famiglia di malware scoperta per la prima volta nel 2018. Shlayer è noto per essere uno dei malware più comuni su macOS, quindi abbiamo sviluppato una serie di rilevamenti per le sue numerose varianti e ne seguiamo da vicino l’evoluzione. … Abbiamo poi trovato questa nuova variante e, ad un esame più attento, abbiamo scoperto che utilizza questo bypass per consentirne l’installazione senza richiesta dell’utente finale. Ulteriori analisi ci portano a credere che gli sviluppatori del malware abbiano scoperto lo zero-day e adattato il loro malware per utilizzarlo all’inizio del 2021.”

Bradley 

Shlayer è un adware che intercetta il traffico web crittografato, inclusi i siti abilitati con HTTPS, e inietta i propri annunci.

“Viene spesso installato inducendo gli utenti a scaricare programmi di installazione o aggiornamenti di applicazioni fasulle. … La versione di Shlayer che utilizza questa tecnica lo fa per eludere la scansione antimalware incorporata e per avviarsi senza ulteriori richieste. … La cosa più interessante di questa variante è che l’autore ne ha preso una vecchia versione e l’ha leggermente modificata per aggirare le funzionalità di sicurezza su macOS.”

Bradley

Wardle ha anche pubblicato uno script Python che aiuterà gli utenti a rilevare qualsiasi sfruttamento passato.

Non è la prima volta che Shlayer sfugge alle difese di macOS. L’anno scorso, Wardle, in collaborazione con il ricercatore di sicurezza Peter Dantini, ha trovato un campione di Shlayer che era stato accidentalmente autenticato da Apple, un processo in cui gli sviluppatori inviano le loro app ad Apple per i controlli di sicurezza in modo che le app possano essere eseguite su milioni di Mac senza problemi.