Questa settimana i ricercatori di Microsoft hanno scoperto e segnalato alcuni problemi causati da una vulnerabilità di macOS denominata Achilles.
Rintracciata come CVE-2022-42821, la vulnerabilità consente di aggirare le protezioni di sicurezza delle applicazioni Gatekeeper, progettate per tenere a bada le applicazioni dannose.
Scoperta una falla nel sistema di Apple
Scoperta a Luglio 2022 da Jonathan Bar Or, il principale ricercatore di sicurezza di Microsoft, CVE-2022-42821 (CVSS 5.5) è descritta come una falla logica che può aiutare a eludere Gatekeeper e a installare malware sui dispositivi vulnerabili.
“I bypass di Gatekeeper come questo potrebbero essere sfruttati come vettore per l’accesso iniziale da parte di malware e altre minacce e potrebbero contribuire ad aumentare il tasso di successo di campagne e attacchi dannosi su macOS”, ha scritto Microsoft Security Threat Intelligence sul proprio blog.
Gatekeeper aiuta gli utenti macOS a rimanere al sicuro, verificando se le applicazioni che vengono installate sul dispositivo siano app fidate e sicure: ovvero firmate e autenticate e, quindi, legittimamente approvate da Apple. Per quanto riguarda Gatekeeper e i permessi per l’esecuzione delle app, sono presenti tre impostazioni selezionabili:
- Consentire l’esecuzione esclusivamente alle app scaricate dal Mac App Store
- Consentire l’esecuzione anche a quelle firmate da sviluppatori Apple certificati
- Consentire l’esecuzione di tutte le app (le versioni più recenti di macOS nascondono questa terza opzione per evitare che venga selezionata inavvertitamente)
Permessi e Gatekeeper
Uno strumento di sicurezza progettato per scoraggiare l’esecuzione e l’impostazione di falsi bundle da parte di app mascherate da Flash Player o persino da file che utilizzano icone PDF. Ogni applicazione scaricata viene assegnata a “com.apple.quarantine”, una funzione simile a Mark of the Web di Windows.
Questo è il segnale che porta Gatekeeper a verificare l’applicazione scaricata, e se non risulta approvata ovviamente non potrà essere installata. Come ulteriore misura di sicurezza, Gatekeeper richiede all’utente di acconsentire all’installazione dell’applicazione, anche se è firmata e approvata da Apple.
In merito ad Achilles, Microsoft ha rilasciato alcune dichiarazioni riguardo la diciannovesima versione del sistema operativo macOS: “Abbiamo notato che la modalità Lockdown di Apple, introdotta su macOS Ventura come funzione di protezione opzionale per gli utenti ad alto rischio che potrebbero essere presi di mira da un cyberattacco sofisticato, ha lo scopo di bloccare gli exploit di esecuzione di codice remoto zero-click, e quindi non difende da Achilles“.
La CVE-2022-42821 permettono agli hacker di bypassare Gatekeeper, ma come? Limitando i controlli attraverso payload appositamente creati per impedire a Safari, o a qualsiasi altro programma che abbiamo utilizzato per scaricare, di impostare l’attributo com.apple.quarantine sul file, applicazione o software che abbiamo appena scaricato.
Niente è a prova di bomba
“Grazie al suo ruolo essenziale nel bloccare il malware su macOS, Gatekeeper è una funzione di sicurezza utile ed efficace”, sono le dichiarazioni di Microsoft, che in seguito ha aggiunto: “Tuttavia, considerando che in passato ci sono state numerose tecniche di aggiramento che hanno preso di mira la funzione di sicurezza, Gatekeeper non è a prova di bomba“.
Al riguardo di tutti questi problemi, si raccomanda di mantenere il vostro Mac e tutti gli altri dispositivi Apple completamente aggiornati. In ogni caso pare che il problema sarà presto soppresso; Apple sta attualmente testando una nuova funzione in grado di fornire una risposta rapida che rafforzerà la sicurezza di tutti i dispositivi Mac e iOS, consentendo al sistema di correggere rapidamente vulnerabilità come questa, senza la necessità di un completo aggiornamento del sistema operativo.
Ricordiamo che Achilles è solo una delle numerose falle che sono state scoperti negli ultimi anni dai ricercatori Microsoft. Molti di queste sono state più che abusate durante diversi cyberattacchi, pianificati per aggirare i meccanismi di sicurezza di macOS come Gatekeeper, File Quarantine e System Integrity Protection (SIP).
In ogni situazione, i ricercatori sembrano essere sempre riusciti a mettere una toppa alla situazione, e le previsioni dell’azienda lasciano decisamente ben sperare. Insomma, gli utenti Microsoft potranno presto tirare un sospiro di sollievo, almeno fino al prossimo problema.