È stata identificata una nuova vulnerabilità zero-day in macOS Finder che può essere sfruttata dai criminal hacker per eseguire comandi arbitrari su sistemi Mac nei quali è in esecuzione qualsiasi versione del sistema operativo macOS.
Il problema di sicurezza è causato dal modo in cui macOS gestisce i file in formato inetloc, i cosiddetti Internet location file che il sistema operativo di Apple utilizza per accedere alle risorse online servendosi degli URI corrispondenti (ad esempio: news:// o ftp://) oppure per richiamare oggetti memorizzati in locale utilizzando l’URI file://.
Indice degli argomenti
Vulnerabilità zero-day in macOS: i dettagli
Secondo il ricercatore di sicurezza indipendente Park Minchan che ha identificato la vulnerabilità, un eventuale sfruttamento potrebbe consentire ad un attaccante remoto di forzare l’elaborazione di un file inetloc appositamente creato da parte del sistema operativo macOS.
Di fatto, quindi, sfruttando il bug di Finder, è possibile eseguire qualsiasi comando incorporato nel file senza che venga mostrato alcun avviso o messaggio di allerta e senza richiedere alcun intervento da parte dell’utente.
In un possibile scenario d’attacco, un file inetloc malevolo potrebbe essere incorporato all’interno di un’e-mail. È quindi sufficiente che l’attaccante induca in qualche modo la vittima designata dell’attacco a cliccare su questo file per eseguire in maniera assolutamente “invisibile” i comandi contenuti al suo interno.
In alternativa, è possibile indurre la vittima a scaricare il file malevolo da Internet e ad aprirlo spacciandolo per un aggiornamento software o per un documento da consultare con una certa urgenza.
In tutti gli scenari di attacco, i comandi potrebbero servire all’attaccante per prendere il controllo del sistema o per eseguire un payload per l’installazione di malware.
Apple ha nascosto la vulnerabilità?
Inizialmente, la falla è stata corretta da Apple che, però, non le ha assegnato alcun codice CVE, facendola quindi passare inosservata.
In realtà, secondo Minchan, la patch sarebbe solo parziale ed è ancora possibile sfruttare la vulnerabilità per eseguire codice arbitrario sui sistemi Mac esposti semplicemente modificando la combinazione di caratteri maiuscoli e minuscoli negli URI contenuti nei file inetloc malevoli.
In pratica, è sufficiente ad esempio che l’attaccante modifichi l’URI usando la stringa FiLe// anziché file//.
Lo stesso ricercatore, inoltre, ha segnalato che al momento i file .inetloc non vengono riconosciuti come pericolosi da nessuno dei motori di scansione antimalware utilizzati da VirusTotal.
Ciò significa che un file inetloc malevolo riesce a bypassare qualunque controllo antivirus, rendendo gli attacchi molto più efficaci e difficili da contrastare.
Come mitigare il rischio di un attacco
Il consiglio, come sempre, è quello di prestare sempre la massima attenzione quando si aprono allegati di posta elettronica o si clicca su indirizzi Web di cui non si ha l’assoluta certezza della loro attendibilità.
