Table of Contents
Vulnerabilidade HM Surf no macOS: Uma Análise Crítica
A Microsoft revelou detalhes sobre uma vulnerabilidade de segurança recentemente corrigida no framework de Transparência, Consentimento e Controle (TCC) da Apple, que pode ter sido explorada para contornar as preferências de privacidade do usuário e acessar dados sensíveis. Essa falha, codinome HM Surf, é identificada como CVE-2024-44133 e foi tratada pela Apple na atualização do macOS Sequoia 15, que removeu o código vulnerável.
Descrição da Vulnerabilidade
Segundo Jonathan Bar Or, integrante da equipe de Inteligência de Ameaças da Microsoft, o HM Surf involves removing the TCC protection for the Safari browser directory, o que facilita a modificação de um arquivo de configuração no diretório do navegador, permitindo o acesso aos dados do usuário, como páginas visitadas, câmera, microfone e localização, sem o consentimento do usuário.
Impacto e Implicações
Os novos mecanismos de proteção atualmente são limitados ao navegador Safari da Apple. A Microsoft está colaborando com outros desenvolvedores de navegadores importantes para investigar os benefícios de um endurecimento dos arquivos de configuração local. É importante destacar que a falha HM Surf se junta a descobertas anteriores de falhas no macOS, como:
Embora o TCC seja um framework de segurança que impede que aplicativos acessem informações pessoais dos usuários sem consentimento, a recém-descoberta falha permite que atacantes contornem este requisito, ganhando acesso a serviços de localização, diretório de contatos, câmera e microfone de maneira não autorizada.
Funcionamento da Exploração
O acesso é regulamentado por um conjunto de permissões, com aplicativos da própria Apple, como o Safari, tendo a capacidade de contornar completamente o TCC usando a permissão com.apple.private.tcc.allow. Isso não só permite ao Safari acessar permissões sensíveis livremente, mas também integra um novo mecanismo de segurança chamado Hardened Runtime, dificultando a execução de código arbitrário no contexto do navegador.
Processo de Exploração do HM Surf
Quando os usuários visitam um site pela primeira vez e solicitam acesso à localização ou à câmera, o Safari pede autorização por meio de um popup semelhante ao TCC. Essas permissões são armazenadas em arquivos variados localizados em ~/Library/Safari no diretório do usuário. O exploit HM Surf desenvolvido pela Microsoft consiste nas seguintes etapas:
- Alterar o diretório inicial do usuário atual utilizando a ferramenta dscl, uma ação que não requer acesso ao TCC no macOS Sonoma.
- Modificar arquivos sensíveis (por exemplo, PerSitePreferences.db) dentro de ~/Library/Safari no diretório real do usuário.
- Retornar o diretório inicial ao original, o que faz com que o Safari utilize os arquivos modificados.
- Iniciar o Safari para abrir uma página da web que captura uma imagem da câmera do dispositivo e coleta a localização.
Consequências e Considerações Finais
A exploração pode ser ampliada ainda mais para salvar um fluxo de vídeo da câmera ou capturar áudio de forma furtiva através do microfone do Mac. A Microsoft observou atividades suspeitas associadas a uma ameaça de adware conhecida como AdLoad, possivelmente explorando a vulnerabilidade, tornando imperativo que os usuários adotem medidas para aplicar as últimas atualizações.
“Como não conseguimos observar os passos que levaram às atividades, não podemos determinar completamente se a campanha AdLoad está explorando a vulnerabilidade HM Surf em si,” disse Bar Or. “A utilização de um método semelhante por atacantes para implantar uma ameaça prevalente destaca a importância de ter proteção contra ataques que utilizam esta técnica.”
#macOS, #Vulnerabilidade, #HM_Surf, #Segurança, #Privacidade, #Apple, #Microsoft, #TCC, #Cibersegurança, #Atualizações
Fonte:https://thehackernews.com/2024/10/microsoft-reveals-macos-vulnerability.html