Europa Press/Contacto/Stanislav Kogiku
MADRID 26 jun. (Portaltic/EP) -
Especialistas em segurança cibernética alertaram sobre uma nova vulnerabilidade identificada no sistema operacional macOS que permite desativar funções importantes de segurança corporativa, sem deixar rastros e por meio de contas de usuário padrão.
Com essa vulnerabilidade, agentes mal-intencionados podem impedir o funcionamento das principais soluções de detecção e resposta em terminais (EDR), bem como de gerenciamento de dispositivos móveis (MDM), sem a necessidade de credenciais de administrador, exploits de kernel ou de acionar alertas de segurança.
Isso foi divulgado pelo grupo de pesquisadores da empresa de segurança cibernética MX Cyber por meio de uma pesquisa recente, na qual explicaram que essa vulnerabilidade se aproveita da forma como os serviços XPC do macOS — responsáveis pela comunicação entre processos para executar tarefas em segundo plano de forma isolada e com privilégios no computador — estabelecem limites de confiança.
Especificamente, os especialistas detalharam que, ao combinar a exploração do cache do kernel CDHash com a injeção de carga útil NIB — que carrega a interface e o código relacionado —, os agentes mal-intencionados poderiam se passar por componentes de aplicativos confiáveis, enganando os serviços XPC para que concedam privilégios sem autenticação.
Isso significa que o macOS possui algo semelhante a um cache de confiança para aplicativos já executados; assim, uma vez que um aplicativo legítimo seja executado, independentemente de terem sido feitas modificações em seus recursos e código, o sistema presume que ele continua sendo o aplicativo legítimo conhecido e concede privilégios XPC sem verificar.
Ou seja, o que essa vulnerabilidade faz é convencer o próprio “software” a executar suas funções privilegiadas acreditando que quem as solicita é confiável, enquanto, na verdade, ele pode estar executando código inserido por agentes maliciosos dentro do contexto de um aplicativo legítimo.
Como resultado, os pesquisadores afirmaram que conseguem desativar ou até mesmo desinstalar softwares de segurança, bem como interromper o monitoramento do sistema. Tudo isso sem a necessidade de ser administrador do computador e sem explorar nenhuma falha no nível do kernel.
Segundo a MX Cyber, essa vulnerabilidade chama a atenção porque muitos desenvolvedores presumem que a verificação baseada na assinatura de código é suficiente. No entanto, uma falha de projeto, como nesses aplicativos que estabelecem confiança com os serviços XPC, pode resultar em uma vulnerabilidade dessas características. “Essa pesquisa invalida fundamentalmente essa premissa em toda a plataforma macOS”, afirmaram.
Portanto, com base na forma como essa confiança é mantida após a execução de um aplicativo legítimo, um invasor com acesso a uma conta de usuário pode fazer com que um serviço com privilégios execute ações confidenciais em seu nome, rompendo assim a barreira de confiança.
A empresa de segurança cibernética detalhou que, portanto, podem ocorrer casos de pontos cegos antes da violação, nos quais um funcionário mal-intencionado ou um invasor com acesso básico de usuário “pode desativar sistematicamente os agentes EDR e MDM”, impedindo que as principais soluções de segurança corporativa atuem, antes de realizar, por exemplo, uma exfiltração de dados.
Seguindo essa linha, além de “minar a crença comum de que os agentes de segurança estão protegidos contra manipulação”, a empresa de tecnologia também destacou que isso gera um rastro forense “quase nulo”, uma vez que não explora vulnerabilidades típicas de software nem deixa erros. Além disso, ela também não aciona assinaturas de exploits padrão, nem deixa “indícios óbvios no registro de eventos”.
Vale ressaltar que, como é necessário ter acesso a uma conta de usuário existente, os pesquisadores destacaram a importância do uso de senhas seguras e da autenticação multifatorial para garantir uma proteção inicial.
Esta notícia foi traduzida por um tradutor automático