Um ataque de exploração de vulnerabilidade foi detectado em uma versão específica do Safari, que pode permitir a acesso irrestrito a componentes que ameaçam a privacidade, como o catálogo de endereços do dispositivo.
O ataque utiliza técnicas de injeção de processo e process hollowing para implantar um malware no sistema. O exploit desenvolvido por Bar Or modifica os arquivos de configuração no diretório do Safari, onde os arquivos relacionados ao TCC são armazenados. Utilizando o utilitário de linha de comando Directory Service (dscl), ele consegue alterar o diretório inicial de um usuário, modificar arquivos confidenciais para remover as proteções do TCC e executar o Safari com esses arquivos modificados.
O exploit permite ao atacante tirar fotos, gravar áudio, ver históricos de download e mais. O invasor pode iniciar o Safari em uma janela pequena para não levantar suspeitas enquanto carrega os dados para um servidor de sua escolha. A Microsoft criou e implementou novas estratégias de detecção que revelaram atividades suspeitas caracteristicas do Adloader.
As informações obtidas destacam a importância de ter proteção contra ataques que empregam essa técnica. A Apple lançou novas APIs para App Group Containers, permitindo que a System Integrity Policy (SIP) da Apple impeça que arquivos de configuração sejam modificados por invasores, resolvendo assim essa classe de vulnerabilidade.
Recomendações:
Atualize para a última versão do macOS.
Certifique-se de que seu sistema operacional esteja atualizado para a versão mais recente, macOS Sequoia 15, que contém a correção para essa vulnerabilidade.
Instale atualizações de segurança regularmente.
Cuidado ao conceder permissões: seja cauteloso ao conceder permissões a aplicativos, especialmente aqueles que solicitam acesso à câmera, microfone e dados de navegação.
Considere usar navegadores de terceiros: navegadores como Google Chrome, Mozilla Firefox ou Microsoft Edge não são afetados por essa vulnerabilidade específica.
Utilize ferramentas de detecção e resposta de endpoint (EDR): ferramentas como o Microsoft Defender podem detectar e bloquear tentativas de exploração dessa vulnerabilidade.
Gerencie dispositivos com MDM: para organizações, é importante gerenciar dispositivos através de soluções de Mobile Device Management (MDM) para aplicar políticas de segurança centralizadas.
Monitore atividades suspeitas: fique atento a qualquer atividade suspeita no seu dispositivo.
Referência:
Comments