No primeiro dia de 2018, um pesquisador que utilizou o moniker on-line Siguza divulgou os detalhes da vulnerabilidade macros do dia-zero não corrigida, que ele sugere com pelo menos 15 anos de idade e o código de exploração de código de prova (PoC) no GitHub .
O bug é uma vulnerabilidade grave de escalabilidade de privilégios locais (LPE) que pode permitir que um usuário não privilegiado (invasor) obtenha acesso raiz no sistema direcionado e execute código malicioso. O malware projetado para explorar essa falha pode se instalar completamente dentro do sistema.
De acordo com a fonte, a Siguza acredita que esta vulnerabilidade existe desde pelo menos 2002, mas algumas pistas sugerem que a falha poderia ser dez anos maior do que isso. "Um erro minúsculo e feio. Quinze anos. Comprometimento do sistema completo" , escreveu ele.
Esta falha de escalonamento de privilégio local reside na IOHIDFamily, uma extensão do kernel do macOS que foi projetado para dispositivos de interface humana (HID), como uma tela sensível ao toque ou botões, permitindo que um invasor instale um shell de raiz ou execute código arbitrário no sistema.
"A IOHIDFamily tem sido notória no passado pelas muitas condições de corrida que continha, o que, em última instância, leva a grande parte de sua reescrita para fazer uso de portões de comando, bem como grandes partes sendo bloqueadas por meio de direitos", explica o pesquisador. .O exploit criado por Siguza, que ele apelidou de IOHIDeous, afeta todas as versões do macros e permite erros arbitrários de leitura / escrita no kernel.
"Eu estava originalmente olhando através de sua fonte na esperança de encontrar uma fruta baixa que me deixaria comprometer um kerni iOS, mas o que eu não sabia disso é que algumas partes da IOHIDFamily existem apenas no macros - especificamente o sistema IOHIDS, que contém a vulnerabilidade ".
Além disto, IOHIDeous também desabilita os recursos de segurança da integridade do sistema (SIP) e da integridade do arquivo móvel da Apple (AMFI) que oferecem proteção contra malwares.
O código PoC disponibilizado pela Siguza por algum motivo deixou de funcionar no MacOS High Sierra 10.13.2 e funciona no MacOS High Sierra 10.13.1 e anterior, mas acredita que o código de exploração pode ser ajustado para funcionar também na versão mais recente.
No entanto, o pesquisador apontou que, por sua habilidade para trabalhar, ele precisa forçar um registro do usuário conectado, mas isso pode ser feito fazendo com que o exploit funcione quando a máquina direcionada é manualmente desligada ou reiniciada.
Uma vez que a vulnerabilidade só afeta o macoss e não é remotamente explorável, o pesquisador decidiu despejar suas descobertas online em vez de informá-lo à Apple. Para aqueles que desconhecem, o programa de recompensas da Apple não abrange os erros do MacOS.
Para obter detalhes técnicos detalhados sobre a vulnerabilidade, você pode dirigir-se ao artigo do pesquisador no GitHub.
FONTE:thehackernews.com
Comentários
Postar um comentário