Como detectar e remover um rootkit [Windows/Mac]Quais modelos de Mac vão atualizar para o macOS 13 Ventura?
O instalador precisa de permissões especiais de usuário para adicionar ou remover o Zoom ao Mac. Ele pede que o usuário digite a senha para isso. O problema é que as atualizações automáticas do aplicativo continuam a ter privilégios de superusuário e rodam em segundo plano. Teoricamente, isso não seria problema. A função de atualização automática confere se o pacote tem a assinatura criptográfica da empresa responsável pelo app. No entanto, a checagem tem um bug. Qualquer arquivo com o mesmo nome do certificado de assinatura do Zoom passa no teste. Então, basta usar isso para instalar um malware e colocá-lo para rodar com privilégios elevados. Este ataque pode ser usado para escalar privilégios no macOS. O atacante começa com um arquivo em uma conta de usuário restrita e consegue chegar ao tipo de usuário mais poderoso, chamado root ou superusuário. Com ele, é possível modificar, criar ou apagar qualquer arquivo.
Zoom ainda não corrigiu tudo
O responsável pela descoberta se chama Patrick Wardle. Ele é especialista em segurança de Macs e fundador da Objective-See Foundation, associação sem fins lucrativos que cria ferramentas de segurança de código aberto para o macOS. Wardle seguiu todos os protocolos de divulgação responsável. Ele informou as falhas à empresa responsável pelo Zoom em dezembro do ano passado. O primeiro conserto, porém, tinha outro bug. O pesquisador avisou novamente a companhia e esperou oito meses para publicar sua pesquisa. Um novo patch corrigiu todas as falhas iniciais, mas continua com um pequeno erro. O pacote a ser instalado agora é movido para uma pasta do usuário root, o que deveria ser suficiente para evitar trocas por malware. No entanto, ele mantém as mesmas permissões de leitura e escrita, o que significa que ainda pode ser alterado por um usuário comum. Um atacante, portanto, pode alterar o arquivo e transformá-lo em um malware. Ao site The Verge, Wardle diz que não só reportou os bugs à Zoom, mas também os erros do processo e como corrigi-los. “É muito frustrante esperar seis, sete, oito meses, sabendo que todas as versões de Mac do Zoom estão vulneráveis nos computadores dos usuários.” Sobre a nova falha, o pesquisador diz que ela é fácil de corrigir. Ele espera que falar publicamente sobre o assunto agilize os processos. Com informações: The Verge.
