Microsoft ha recentemente comunicato di aver scovato una nuova vulnerabilità per macOS, denominata HM Surf, per la quale potrebbero essere già in circolazione degli exploit. Dal canto suo, Apple ha provveduto tempestivamente a distribuire una patch correttiva con gli aggiornamenti di sicurezza di settembre scorso, ma l’annuncio pubblico avviene sempre dopo, al fine di diffondere la conoscenza della cosa e invitare coloro che ancora non lo hanno fatto ad aggiornare il proprio Mac.
HM Surf: Microsoft scopre una nuova vulnerabilità per macOS
Andando più in dettaglio, HM Surf prende di mira le protezioni TCC (Transparency, Consent, Control) sfruttandone le eccezioni, definite “Entitlement” da Apple. Il vettore per l’attacco è Safari e il fatto che sia il browser predefinito del sistema operativo garantisce tutta una serie di permessi a cui altri software analoghi non hanno diritto. In particolare, può bypassare, se l’utente glielo consente, tutte le protezioni TCC.
I ricercatori di Microsoft sono riusciti a sviluppare un exploit modificando i file di configurazione di Safari. Sfruttando il tool da riga di comando DSCL (Directory Service Command Line), hanno modificato la directory home dell’utente, alterato i file di configurazione in modo tale da disabilitare le protezioni TCC e modificato di nuovo la directory home in maniera tale che il browser riuscisse a leggere i file modificati. In questo modo, tramite esplicita richiesta dei ricercatori, Safari era in grado di scattare foto, vedere la cronologia dei download eseguiti e molto altro ancora.
A quanto pare, come anticipato, dei malintenzionati potrebbero essersi resi conto della cosa e potrebbero aver sfruttato la vulnerabilità a proprio favore, ma per il momento non vi sono dimostrazioni tangibili di attività di questo tipo, si tratta soltanto di supposizioni. Ad ogni modo, il colosso di Cupertino è già stato messo al corrente della cosa.
Da notare che questa non è la prima volta che Microsoft scopre una falla su macOS. Nel 2022, ad esempio, è stata individuata quella siglata come CVE-2022-42821 che poteva permettere a un malintenzionato di distribuire malware sui dispositivi macOS tramite applicazioni non attendibili in grado di bypassare le restrizioni dettate da Gatekeeper