I ricercatori di Cisco Talos hanno annunciato di aver scoperto 8 vulnerabilità critiche nei principali software Microsoft per macOS. Queste falle, se sfruttate dai criminali informatici, potrebbero consentire la registrazione di video e audio dai dispositivi degli utenti, l’accesso a dati sensibili, la registrazione dell’input da tastiera e persino l’acquisizione di privilegi elevati per eseguire azioni dannose. I software coinvolti includono applicazioni di uso quotidiano come Excel, Word, OneNote, Outlook, PowerPoint e Teams.
Nonostante la gravità dei problemi di sicurezza venuti a galla, Microsoft ha risposto agli esperti di Cisco Talos che non intende risolvere le vulnerabilità. Secondo i tecnici di Redmond, infatti, si tratterebbero dei problematiche marginali, derubricate a bug con un basso rischio intrinseco.
Inutile dire che la presa di posizione di Microsoft ha suscitato forti dubbi, specie se si considerano le rilevanti implicazioni in termini di sicurezza che le vulnerabilità portano con sé in ambito macOS.
Il modello di sicurezza di macOS e le entitlements
Apple ha sviluppato un solido modello di sicurezza per macOS basato su un sistema di permessi noto come TCC (Transparency, Consent and Control). Questo framework richiede agli utenti di concedere esplicitamente il permesso alle applicazioni per accedere a risorse personali come contatti, foto e microfono. TCC funziona in sinergia con le “entitlements“, un set di privilegi che gli sviluppatori devono abilitare se la loro applicazione necessita di accedere a determinate funzionalità del sistema.
Una volta che un’applicazione ha ottenuto le autorizzazioni necessarie, queste restano valide finché l’utente non decide di modificarle manualmente nelle impostazioni di sistema. Se un aggressore riuscisse a far leva su un’applicazione già autorizzata in precedenza (in questo caso, quindi, app come Word o Outlook…), avrebbe di fatto la strada spianata. Dovrebbe infatti limitarsi a iniettare codice malevolo nei processi dell’applicazione vulnerabile per ottenere l’accesso alle risorse protette.
Protezioni di Apple e limitazioni
Apple ha implementato diverse protezioni per attenuare rischi simili a quelli descritti. Il meccanismo di sandboxing delle applicazioni scaricate dall’App Store limita l’accesso alle risorse specificate dagli sviluppatori tramite le entitlements. Ancora, l'”hardened runtime” impedisce l’esecuzione di librerie malevole non autorizzate e blocca l’esecuzione di codice potenzialmente dannoso.
Francesco Benvenuto, ingegnere senior presso Cisco Talos, alcune delle più popolari applicazioni Microsoft su macOS usano entitlements che consentono di disabilitare alcune delle protezioni, come la validazione delle librerie. Una caratteristica che, evidentemente, porge il fianco a potenziali attacchi.
Un attaccante potrebbe infatti iniettare librerie non firmate (tecnica conosciuta su macOS come “Dylib Hijacking“) ed eseguire codice arbitrario all’interno delle applicazioni compromesse, sfruttando l’intero set di permessi ed entitlements di ciascuna applicazione vulnerabile.
Implicazioni per la sicurezza
Cisco Talos ha descritto per filo e per segno le implicazioni sulla sicurezza per gli utenti dei sistemi operativi macOS, rimarcando la gravità delle vulnerabilità in questione.
Da parte sua, Microsoft considera complessivamente contenuto il rischio associato alle vulnerabilità. Non ha quindi ritenuto di rilasciare patch correttive per la maggior parte delle applicazioni coinvolte. Solo Teams e OneNote hanno ricevuto aggiornamenti che rimuovono l’entitlement responsabile dell’iniezione di codice, riducendo così la portata del problema di sicurezza. Viceversa, le app Office per macOS rimangono al momento vulnerabili.
A questo punto, gli utenti di macOS e in particolare coloro che utilizzano le applicazioni Microsoft, devono essere consapevoli dei potenziali rischi e considerare misure aggiuntive per proteggere i propri dispositivi e dati.
Tra le attenzioni più utili vi sono certamente l’aggiornamento di tutti i componenti del sistema operativo, del browser e degli altri software installati; la cautela nell’apertura di file provenienti da fonti non sicure; l’utilizzo di antimalware moderni – con funzionalità antiexploit integrata – in grado di riconoscere i tentativi di attacco.
Credit immagine in apertura: Copilot Designer