Table of Contents
Vulnerabilidade de Segurança no Safari do macOS
A segurança dos navegadores é uma questão de grande relevância no contexto atual de cibersegurança. Recentemente, uma vulnerabilidade de segurança no navegador Safari, em dispositivos macOS, pode ter exposto usuários a espionagem, roubo de dados e outras formas de malware.
A questão é catalisada pelas permissões especiais que a Apple concede aos seus aplicativos proprietários, como o Safari, e pela facilidade com que um atacante pode acessar arquivos de configuração essenciais do aplicativo. Isso permite que um invasor contorne a camada de segurança chamada Transparência, Consentimento e Controle (TCC), utilizada pelos MacBooks para proteger dados sensíveis. O CVE, identificado como CVE-2024-44133, recebeu uma classificação de severidade “média” de 5.5 no Sistema de Avaliação de Vulnerabilidades Comum (CVSS).
Pesquisadores da Microsoft nomearam sua exploração do CVE-2024-44133 como HM Surf. Em um novo post em blog, descreveram como HM Surf poderia abrir a porta para acessar dados de navegação do usuário, câmera, microfone e localização do dispositivo, entre outros. A ameaça não é meramente teórica: já existem evidências inconclusivas, mas significativas, de que um programa de adware pode já ter explorado o CVE-2024-44133 ou algo semelhante no ambiente real.
A Apple lançou uma correção para o CVE-2024-44133 em sua atualização do macOS Sequoia, no dia 16 de setembro.
“É uma preocupação séria, por causa do acesso não autorizado que proporciona”, afirma Xen Madden, especialista em cibersegurança da Menlo Security, enfatizando a necessidade de organizações atualizarem seus dispositivos macOS. Porém, acrescenta, “Pelo que parece, a maioria das ferramentas EDR irá detectá-lo, especialmente uma vez que o Microsoft Defender está detectando.”
Explorando o HM Surf
Em todos os dispositivos da Apple, o TCC é responsável por gerenciar quais dados e recursos sensíveis os aplicativos podem acessar. Quando um aplicativo deseja acessar a câmera do usuário, por exemplo, o TCC garante que o Mac irá solicitar permissão primeiro.
Entretanto, se um aplicativo possui um “direito” especial, a situação muda. Alguns aplicativos proprietários da Apple possuem tais direitos – permissões especiais, aprovadas pela Apple, que os permitem ter privilégios únicos em comparação com outros aplicativos. O cerne da operação do HM Surf reside na permissão do Safari, “com.apple.private.tcc.allow”, que permite que ele contorne o TCC em nível de aplicativo e aplique isso apenas em uma base “por origem”. Em outras palavras, o Safari pode acessar livremente a câmera e o microfone como desejar, mas qualquer site específico que você visitar através do Safari provavelmente não poderá.
A configuração do Safari – incluindo as regras que definem as proteções TCC por origem – está armazenada em diversos arquivos sob ~/Library/Safari, dentro do diretório inicial do usuário. Manipular esses arquivos poderia fornecer um caminho para contornar o TCC, embora o diretório inicial esteja protegido pelo TCC.
Contornar esse obstáculo é relativamente simples, utilizando o comando de utilitário de linha de comando de diretório de serviço (DSCL), uma ferramenta no macOS para gerenciar serviços de diretório. No HM Surf, o DSCL é usado para mudar temporariamente o diretório inicial, removendo a proteção do TCC que cobre ~/Library/Safari. Agora, os invasores poderiam modificar as configurações TCC por origem do Safari – concedendo uma variedade de permissões para um site malicioso que eles criassem – antes de, por fim, reinstalar o diretório inicial. Assim, se um usuário visitasse o site malicioso, o site teria liberdade total para capturar capturas de tela, dados de localização e mais, sem desencadear uma solicitação de permissão.
O CVE-2024-44133 Já foi Explorado?
Após a elaboração de sua exploração, a Microsoft começou a analisar os ambientes de clientes em busca de atividades que se alinhassem ao que haviam encontrado. Em um dispositivo, surpreendentemente, eles detectaram algo que se assemelhava bastante ao que estavam buscando.
Era um programa que bisbilhotava as configurações do Chrome da vítima, adicionando aprovação para acesso a microfone e câmera a uma URL específica. Além disso, realizava outras funções: coletando informações do usuário e do dispositivo, preparando o terreno para um segundo estágio de carga.
Esse programa, por sinal, se revelou ser um conhecido aplicativo de adware para macOS chamado AdLoad. O AdLoad sequestra e redireciona o tráfego do navegador, assediando os usuários com anúncios indesejados. Ele vai além: coleta dados do usuário, transformando dispositivos infectados em nós de uma botnet e atuando como um campo de estágio para cargas maliciosas adicionais.
No post do blog, a Microsoft destacou que, embora as atividades do AdLoad se assemelhassem de perto à técnica HM Surf, “Como não conseguimos observar os passos que levaram à atividade, não podemos determinar completamente se a campanha AdLoad está explorando a vulnerabilidade HM Surf.” Apesar disso, acrescentou, “Ataque usando um método semelhante para implantar uma ameaça prevalente eleva a importância de ter proteção contra ataques que utilizam essa técnica.”
A Dark Reading entrou em contato com a Apple e a Microsoft para mais comentários sobre esta história.
#Safari, #macOS, #Cibersegurança, #Vulnerabilidade, #HM_Surf, #Apple, #Privacidade, #Malware, #CVE2024