Minha tecnologia
A Defcon foi realizada em Las Vegas na semana passada. No evento, um palestrante, Patrick Wardle, Chief Research Officer da Digita Security, falou especificamente e em profundidade sobre uma vulnerabilidade que encontrou no MacOS que poderia permitir o comprometimento do sistema. Ele disse que apenas brincando com algumas linhas de código, ele aprendeu que as interações sintéticas com a IU do sistema podem abrir caminho para problemas massivos de segurança e exploração.
As interações sintéticas referidas por Wardle são o tipo que permite que atacantes remotos façam os usuários clicarem em coisas que aparecem em sua tela sem querer. Esses cliques podem conceder permissões indevidas e, se uma extensão do kernel for carregada por meio dessa exploração, todo o sistema operacional pode ser comprometido com as permissões mais altas.
Esses cliques únicos detêm o poder de ignorar os pontos de verificação de autorização para permitir a execução de aplicativos, autorização de keychain, carregamento de extensões de kernel de terceiros e autorização de conexões de rede de saída. Acontece que tudo é apenas o suficiente para que um invasor obtenha acesso ao sistema, execute códigos de interesse e também roube informações e documentos de interesse.
Na maioria das vezes, quando você é solicitado a conceder permissão a qualquer processo que o peça para fazer praticamente qualquer coisa em seu computador, você pensa duas vezes antes de confiar nos processos que estão pedindo. A tática de manipulação de um único clique pode fazer com que você conceda permissão a serviços sem saber se eles são confiáveis ou seguros.
A vulnerabilidade que causa isso, CVE-2017-7150 , é uma falha nas versões do MacOS anteriores à sua versão 10.13. Esta vulnerabilidade permite que códigos de ataque desprivilegiados interajam com componentes de IU, incluindo os mesmos diálogos seguros que aparecem para pedir permissão para continuar. A capacidade de gerar esses cliques sintéticos na IU permite que os invasores obtenham todas as permissões que desejam do usuário desconhecido e executem o que quiserem no sistema.
Uma atualização foi lançada pela Apple para mitigar esse exploit de dia zero. A atualização é chamada de “Carregamento de extensão de kernel assistido pelo usuário” (Kext) e garante que a geração sintética de clique único não ocorra, pois os próprios usuários precisam executar seus cliques manualmente.
