Aggiorna ora il tuo Mac per correggere la vulnerabilità che offre pieno accesso alle app di spionaggio

Microsoft avverte gli utenti Mac di aggiornare all’ultima versione di MacOS Monterey dopo aver rilevato una vulnerabilità nella funzione Trasparenza, Consenso e Controllo (TCC) di Apple.

Lo sfruttamento di questa vulnerabilità potrebbe consentire ad attori malintenzionati di falsificare il TCC e installare malware o dirottare un’altra app sul computer.

Schermata della vulnerabilità powerdir di macOS Monterey.

Introdotto nel 2012 con MacOS Mountain Lion, TCC è progettato per aiutare a controllare l’accesso di un’app a elementi come fotocamera, microfono e dati. Quando un’app richiede l’accesso a dati protetti, la richiesta viene confrontata con i record archiviati esistenti in un database speciale. Se i record esistono, all’app viene negato o approvato l’accesso in base a un flag che indica il livello di accesso.

In caso contrario, all’utente viene visualizzata una richiesta per concedere o negare esplicitamente l’accesso. Una volta che l’utente risponde, tale richiesta viene archiviata nel database e le richieste future seguiranno l’input precedente dell’utente.

Secondo Microsoft, la vulnerabilità “powerdir”, nota anche come CVE-2021-30970 , è stata effettivamente sfruttata due volte dai loro ricercatori di sicurezza. Il primo exploit “prova di concetto” fondamentalmente ha piantato un file di database TCC falso e ha cambiato la home directory dell’utente.

In questo modo, Microsoft è stata in grado di modificare le impostazioni su qualsiasi applicazione o consentire l’accesso al microfono o alla fotocamera. Microsoft è stata persino sfacciatamente in grado di fornire a Teams l’accesso al microfono e alla fotocamera. Microsoft ha segnalato questi risultati iniziali ad Apple nel luglio 2021, anche se apparentemente l’exploit ha funzionato ancora, nonostante Apple abbia risolto un exploit simile dimostrato al Black Hat 2021.

Il secondo exploit proof of concept si è verificato perché un cambiamento nello strumento dsimport di MacOS Monterey ha interrotto il primo exploit. Questo nuovo exploit consente a un utente malintenzionato di utilizzare l’iniezione di codice per modificare il file binario chiamato /usr/libexec/configd . Questo binario è responsabile delle modifiche alla configurazione a livello di sistema, incluso l’accesso al database TCC. Ciò ha consentito a Microsoft di modificare silenziosamente la home directory ed eseguire lo stesso tipo di attacco del primo exploit.

Fortunatamente, Microsoft ha nuovamente notificato ad Apple la vulnerabilità ed è stata corretta il mese scorso. Microsoft sta esortando gli utenti macOS a garantire che la loro versione di MacOS Monterey sia aggiornata con l’ultima patch. L’azienda si è anche presa del tempo per promuovere la propria soluzione di sicurezza aziendale Defender for Endpoint, che è stata in grado di prevenire tali exploit anche prima che Apple li applicasse.

Ci sono stati precedenti exploit TCC, incluso uno che utilizza l’utilità Time Machine integrata di Apple , che da allora è stata anch’essa patchata. È sempre altamente consigliato mantenere tutti i tuoi dispositivi aggiornati con le patch più recenti per prevenire possibili exploit come questo. Sentiti libero di leggere i dettagli degli exploit TCC di Microsoft nel loro post sul blog sulla sicurezza .