Microsoft revelou detalhes sobre uma falha de segurança agora corrigida no framework Transparency, Consent, and Control (TCC) da Apple em macOS, que provavelmente foi explorada para contornar as preferências de privacidade de um usuário e acessar dados.
A deficiência, apelidada de HM Surf pela gigante da tecnologia, é rastreada como
CVE-2024-44133
.
Foi corrigida pela Apple como parte do macOS Sequoia 15 pela remoção do código vulnerável.
HM Surf "envolve a remoção da proteção TCC para o diretório do navegador Safari e a modificação de um arquivo de configuração no referido diretório para ganhar acesso aos dados do usuário, incluindo páginas navegadas, a câmera do dispositivo, microfone e localização, sem o consentimento do usuário," disse Jonathan Bar Or da equipe de Inteligência de Ameaças da Microsoft.
A Microsoft afirmou que as novas proteções são limitadas ao navegador Safari da Apple, e que está trabalhando com outros grandes fornecedores de navegadores para explorar ainda mais os benefícios do fortalecimento de arquivos de configuração locais.
HM Surf segue a descoberta pela Microsoft de falhas no macOS da Apple, como Shrootless, powerdir, Achilles e Migraine, que poderiam permitir que atores maliciosos contornassem imposições de segurança.
Embora o TCC seja um framework de segurança que impede que aplicativos acessem informações pessoais dos usuários sem o consentimento deles, o bug recém-descoberto poderia permitir aos atacantes contornar este requisito e ganhar acesso a serviços de localização, livro de endereços, câmera, microfone, diretório de downloads e outros de maneira não autorizada.
O acesso é governado por um conjunto de permissões, com aplicativos próprios da Apple, como o Safari, tendo a capacidade de contornar completamente o TCC usando a permissão "com.apple.private.tcc.allow".
Embora isso permita que o Safari acesse livremente permissões sensíveis, também incorpora um novo mecanismo de segurança chamado Hardened Runtime, que torna desafiador executar código arbitrário no contexto do navegador web.
Dito isso, quando os usuários visitam um site que solicita acesso à localização ou câmera pela primeira vez, o Safari solicita acesso via um popup semelhante ao TCC.
Essas permissões são armazenadas em uma base por site dentro de vários arquivos localizados no diretório "~/Library/Safari".
O exploit HM Surf elaborado pela Microsoft depende da realização dos seguintes passos:
- Mudança do diretório home do usuário atual com a utilidade dscl, um passo que não requer acesso ao TCC em macOS Sonoma;
- Modificação dos arquivos sensíveis (por exemplo, PerSitePreferences.db) dentro de "~/Library/Safari" sob o diretório home real do usuário;
- Mudança do diretório home de volta para o diretório original faz com que o Safari use os arquivos modificados;
- Inicialização do Safari para abrir uma página web que tira uma foto via câmera do dispositivo e captura a localização.
O ataque poderia ser estendido para salvar uma transmissão completa da câmera ou capturar áudio de forma furtiva através do microfone do Mac, disse a Microsoft.
Navegadores web de terceiros não sofrem deste problema, pois não possuem as mesmas permissões privadas que os aplicativos da Apple.
A Microsoft observou atividade suspeita associada a uma conhecida ameaça de adware em macOS chamada AdLoad, provavelmente explorando a vulnerabilidade, tornando imperativo que os usuários tomem medidas para aplicar as últimas atualizações.
"Como não conseguimos observar os passos dados levando à atividade, não podemos determinar completamente se a campanha AdLoad está explorando a vulnerabilidade HM Surf em si," disse Bar Or.
Atacantes usando um método semelhante para implantar uma ameaça prevalente eleva a importância de ter proteção contra ataques usando essa técnica.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...