Pesquisadores da empresa XM Cyber descobriram uma nova técnica de escalonamento de privilégios no macOS que permite a um usuário comum (sem credenciais de administrador) desativar ferramentas de segurança corporativa.
Em linhas gerais, o ataque explora a forma como o macOS valida as informações de confiança dos aplicativos, de modo que um invasor pode simular a execução de tarefas insuspeitas a fim de realizar ações que deveriam estar disponíveis apenas para processos privilegiados. Nenhuma das demonstrações do ataque exigiu exploração de kernel ou mesmo burlou a Proteção da Integridade do Sistema.
Posts relacionados
- Brecha no macOS é descoberta com a ajuda do Claude Mythos, da Anthropic
- Novo ataque usa falsos CAPTCHAs para instalar malwares no macOS
- OpenAI recomenda atualizar o ChatGPT para macOS após ataque
A firma ressalta que nem todos os aplicativos para macOS são vulneráveis. O problema afeta softwares que implementam o framework XPC entre seus componentes — o que, na prática, abrange grande parte do ecossistema macOS.
Os desenvolvedores que usam XPC devem revisar e fortalecer sua lógica de validação para garantir que seus aplicativos não possam ser explorados por meio dessa vulnerabilidade.
A técnica relatada pela empresa não pode ser executada remotamente, o que significa que os invasores precisam primeiro obter acesso a uma conta de usuário padrão no Mac alvo — de certa forma, limitando o alcance do ataque.
A XM Cyber divulgou as descobertas aos desenvolvedores afetados antes da publicação, o que permitiu que alguns deles corrigissem o problema a tempo. A Apple, por sua vez, não publicou nenhum aviso de segurança relacionado à pesquisa nem validou de forma independente as descobertas da XM Cyber.
via Dark Reading