Microsoft ha rivelato di aver scoperto un modo per aggirare Gatekeeper in macOS e persino come eseguire malware. La falla è stata corretta da Apple.
La vulnerabilità, chiamata “Achilles” da Microsoft e CVE-2022-42821 da Apple, è stata scoperta nel luglio 2022 e segnalata subito ad Apple. Microsoft afferma che le correzioni per la vulnerabilità sono state rapidamente rilasciate da Apple, anche se sembra che questi aggiornamenti non siano stati pubblicati fino al 13 dicembre 2022.
Jonathan Bar Or del Microsoft 365 Defender Research Team: “Microsoft ha scoperto una vulnerabilità in macOS che può consentire agli aggressori di aggirare le restrizioni di esecuzione delle applicazioni imposte dal meccanismo di sicurezza Gatekeeper di Apple, progettato per garantire che solo le app affidabili vengano eseguite sui dispositivi Mac. Abbiamo sviluppato un exploit proof-of-concept per dimostrare la vulnerabilità. I bypass del gatekeeper come questo potrebbero essere sfruttati come vettore per l’accesso iniziale da parte di malware e altre minacce e potrebbero contribuire ad aumentare il tasso di successo di campagne e attacchi dannosi su macOS”.
Microsoft entra nei dettagli sulla scoperta del team e sul metodo di accesso che gli aggressori avrebbero potuto utilizzare se la vulnerabilità non fosse stata corretta. Microsoft avverte anche che la nuova Modalità Isolamento di Apple non avrebbe impedito un simile attacco.
“Notiamo che la modalità isolamento di Apple, introdotta in macOS Ventura come funzione di protezione opzionale per gli utenti ad alto rischio che potrebbero essere presi di mira personalmente da un sofisticato attacco informatico, ha lo scopo di fermare gli exploit di esecuzione di codice remoto senza clic e quindi non difende da Achilles“, ha dichiarato Microsoft nel post. “Gli utenti finali dovrebbero applicare la correzione indipendentemente dal loro stato sulla modalità isolamento. Ringraziamo Apple per la collaborazione nell’affrontare questo problema“.
Ricordiamo che Gatekeeper di Apple è una funzione di sicurezza che avvisa gli utenti quando avviano un’app che non proviene dall’App Store, ma da uno sviluppatore non identificato.