Bug zero-day in macOS porta all'esecuzione di codice dannoso: come funziona l'attacco

Apple non ha ancora completamente risolto una vulnerabilità scoperta in macOS Finder che può essere sfruttata da eventuali aggressori per eseguire codice dannoso.

Il problema è insito nell’imperfetta gestione dei cosiddetti Internet location file ovvero quegli elementi che su macOS hanno estensione .inetloc e vengono utilizzati per accedere a una vasta gamma di risorse online servendosi degli URI corrispondenti (esempio: news://, ftp://, afp://) oppure per richiamare oggetti memorizzati in locale con l’URI file://.

In una nota pubblicata da SSD Secure Disclosure in queste ore si apprende che creando “ad arte” Internet location file su macOS, comprese le versioni più aggiornate (Big Sur), è possibile disporre l’esecuzione di codice arbitrario senza alcun intervento da parte dell’utente ed evitando la visualizzazione di qualunque avviso o messaggio d’allerta.

I tecnici di Apple hanno riconosciuto l’esistenza del problema e l’hanno parzialmente risolto senza assegnarvi alcun identificativo CVE.
Il fatto è che la soluzione che è stata implementata è parziale perché a un aggressore basta modificare la combinazione di caratteri maiuscoli e minuscoli negli URI richiamati (ad esempio usare FiLe:// anziché file:// per continuare ad avere la possibilità di eseguire codice arbitrario.
La stessa tattica può essere utilizzata anche con altri URI.

Come segnalano i ricercatori di sicurezza i file .inetloc malevoli non sono al momento riconosciuti praticamente da nessun motore di scansione antimalware su VirusTotal rendendo gli attacchi ancora più efficaci.
Basta infatti indurre la vittima a scaricare un file dalla rete Internet o inviare tramite email l’Internet location file per ottenere l’effetto desiderato.