E’ stato proprio il colosso di Redmond a uscire allo scoperto rilasciando l’exploit PoC per la vulnerabilità di escape sandbox di macOS. Una vulnerabilità non di poco conto.
Il codice exploit pubblicato la Microsoft per una vulnerabilità in macOS potrebbe aiutare un utente malintenzionato a bypassare le restrizioni sandbox ed eseguire codice sul sistema. La società creata da quel genio di Bill Gates e Paul Allen nell’ormai lontano 1975 ha spiegato i dettagli tecnici per il problema di sicurezza, che è attualmente identificato come CVE-2022-26706.
Problema e soluzione, si spera in tempo in tempo, per evitare le regole sandbox dell’app macOS e per consentire a codice macro dannoso nei documenti Word di eseguire comandi su un dispositivo. L’abuso di macro nei documenti di Office per distribuire malware è da tempo una tecnica efficiente e popolare per compromettere i sistemi Windows da parte dei cyber-criminali. Lo stesso potrebbe essere ottenuto su dispositivo macOS prive degli aggiornamenti di sicurezza adeguati. Il monito di Microsoft è quello di aggiornare subito il proprio device.
Come gli aggressori aggirano le regole di Microsoft, rilasciando codici dannosi
“Nonostante le restrizioni di sicurezza imposte dalle regole dell’App Sandbox sulle applicazioni – spiega Microsoft in maniera ufficiale – è possibile per gli aggressori aggirare tali regole e lasciare che codici dannosi scappino dalla sandbox ed eseguano comandi arbitrari su un dispositivo interessato”.
Jonathan Bar Or del Microsoft 365 Defender Research Team, direttamente su bleepingcomputer, ha evidenziato che la vulnerabilità è stata scoperta durante l’analisi dei metodi per eseguire e rilevare macro dannose nei documenti di Microsoft Office su macOS. Per garantire la compatibilità con le versioni precedenti, Microsoft Word può leggere e scrivere file forniti con il prefisso “~$”, definito nelle regole sandbox dell’app.
Dopo aver studiato i rapporti precedenti sull’escape della sandbox di macOS, i ricercatori hanno scoperto che l’utilizzo di Launch Services per eseguire un comando open-stdin su uno speciale file Python con il prefisso sopra menzionato consente di sfuggire all’App Sandbox su macOS, portando potenzialmente a compromessi il sistema.
I ricercatori hanno escogitato un proof-of-concept (PoC) che utilizzava l’opzione -stdin per il comando aperto su un file Python per aggirare la restrizione degli attributi estesi “com.apple.quarantine”. Il codice exploit demo è semplice come rilasciare un file Python che contiene comandi arbitrari e ha nel nome il prefisso speciale per Word. L’uso del comando open-stdin avvia l’app Python con il file appositamente predisposto come input standard.
“Python esegue felicemente il nostro codice e, poiché è un processo figlio di launchd, non è vincolato alle regole sandbox di Word”. Parola di Jonathan Bar Or.