[ad_1]
A Microsoft lançou luz sobre uma falha no macOS que, se explorada, pode permitir que os agentes de ameaças executem códigos arbitrários remotamente. A falha, rastreada como CVE-2022-26706, permite contornar as regras do macOS App Sandbox, permitindo a execução de macros em documentos do Phrase.
Há anos, as macros são usadas por vários agentes de ameaças para enganar as pessoas e fazer o obtain de malware (abre em nova aba), ou ransomware, em seus endpoints. Chegou a um ponto em que a Microsoft decidiu desabilitar macros em todos os arquivos fora da rede confiável e tornar bastante difícil para o usuário médio do Phrase habilitá-los.
Agora, a Microsoft está alertando que a prática também pode ser usada em dispositivos MacOS:
Executando comandos arbitrários
“Apesar das restrições de segurança impostas pelas regras do App Sandbox sobre os aplicativos, é possível que os invasores ignorem essas regras e deixem que códigos maliciosos “escapem” do sandbox e executem comandos arbitrários em um dispositivo afetado”, explicou a empresa.
A falha foi descoberta pela equipe de pesquisa do Microsoft 365 Defender e supostamente corrigida pela Apple em 16 de maio.
App Sandbox é uma tecnologia incorporada no macOS, que gerencia o controle de acesso de aplicativos. Como o nome sugere, seu objetivo é conter qualquer dano potencial que um aplicativo malicioso possa causar e proteger dados confidenciais.
O problema começa com a compatibilidade com versões anteriores do Phrase. Para garantir que funcione, o aplicativo pode ler ou gravar arquivos com uma correção “~$”. Ao aproveitar os serviços de inicialização do macOS, para executar um comando open -stdin em um arquivo Python especialmente criado com esse prefixo, o invasor pode ignorar o sandbox, explicou a Microsoft.
Esse método também permite que os agentes de ameaças ignorem “recursos de segurança de linha de base integrados” no macOS, comprometendo os dados do sistema e do usuário como resultado.
A Microsoft publicou uma prova de conceito, cujo código é tão simples que pode-se simplesmente soltar um arquivo Python, com o prefixo mencionado acima, com comandos arbitrários.
“O Python executa nosso código com prazer e, como é um processo filho do launchd, não está vinculado às regras de sandbox do Phrase”, disse a Microsoft.
Através da: BleepingComputador (abre em nova aba)
[ad_2]
Fonte da Notícia: www.techradar.com
