Microsoft ha revelado detalles de una falla de seguridad ahora parcheada en el marco de Transparencia, Consentimiento y Control (TCC) de Apple en macOS que probablemente fue explotada para eludir las preferencias de privacidad y el acceso a los datos de un usuario.
La falla, denominada HM Surf por el gigante tecnológico, se identifica como CVE-2024-44133. Fue DIRECCIÓN por Apple como parte de macOS Sequoia 15 eliminando el código vulnerable.
HM Surf» implica eliminar la protección TCC para el directorio del navegador Safari y modificar un archivo de configuración en dicho directorio para acceder a los datos del usuario, incluidas las páginas vistas, la cámara, el micrófono y la ‘ubicación del dispositivo, sin el consentimiento del usuario’, Jonathan Bar Gold de Microsoft Threat equipo de inteligencia dicho.
Microsoft dijo que las nuevas protecciones se limitan al navegador Safari de Apple y que está trabajando con otros proveedores importantes de navegadores para explorar más a fondo los beneficios de reforzar los archivos de configuración locales.
HM Surf sigue al descubrimiento por parte de Microsoft de vulnerabilidades de Apple macOS como Shrootless, powerdir, Achilles y Migraine, que podrían permitir a actores maliciosos eludir las medidas de seguridad.
Aunque TCC es un marco de seguridad que impide que las aplicaciones accedan a la información personal de los usuarios sin su consentimiento, el error recién descubierto podría permitir a los atacantes eludir este requisito y acceder a los servicios de ubicación, la libreta de direcciones, la cámara, el micrófono y el directorio de descargas. , etc. de manera no autorizada.
El acceso se rige por un conjunto de derechos, y las propias aplicaciones de Apple, como Safari, tienen la capacidad de evitar TCC por completo utilizando el derecho «com.apple.private.tcc.allow».
Si bien esto permite a Safari acceder libremente a permisos confidenciales, también incorpora un nuevo mecanismo de seguridad llamado Hardened Runtime que dificulta la ejecución de código arbitrario en el contexto del navegador web.
Dicho esto, cuando los usuarios visitan por primera vez un sitio web que solicita ubicación o acceso a la cámara, Safari solicita acceso a través de una ventana emergente estilo TCC. Estos derechos se almacenan sitio por sitio web en varios archivos ubicados en el directorio “~/Library/Safari”.
El exploit HM Surf diseñado por Microsoft se basa en realizar los siguientes pasos:
- Cambie el directorio de inicio del usuario actual con el dscl utilidad, un paso que no requiere acceso TCC en macOS Sonoma
- Editar archivos confidenciales (por ejemplo, PerSitePreferences.db) en «~/Library/Safari» en el directorio de inicio real del usuario
- Revertir el directorio de inicio al directorio original obliga a Safari a utilizar los archivos modificados.
- Inicie Safari para abrir una página web que toma una instantánea a través de la cámara del dispositivo y captura la ubicación.
El ataque podría ampliarse aún más para guardar toda la transmisión de una cámara o capturar audio sigilosamente a través del micrófono de la Mac, dijo Microsoft. Los navegadores web de terceros no sufren este problema porque no tienen los mismos derechos privados que las aplicaciones de Apple.
Microsoft señaló que observó actividad sospechosa asociada con una conocida amenaza de adware de macOS llamada AdLoad, que probablemente explota la vulnerabilidad, por lo que es imperativo que los usuarios tomen medidas para aplicar las últimas actualizaciones.
«Como no pudimos observar los pasos dados que llevaron a esta actividad, no podemos determinar completamente si la campaña AdLoad en sí explota la vulnerabilidad de navegación HM», dijo Bar Or, que utiliza un método similar para desplegar una amenaza generalizada, lo que aumenta la importancia de. tener protección contra ataques usando esta técnica.»
