Una nuova vulnerabilità macOS aggira le protezioni senza exploit del kernel
Una vulnerabilità macOS scoperta dai ricercatori di XM Cyber sta facendo discutere parecchio nella comunità della sicurezza informatica. E il motivo è semplice: per sfruttarla non serve un exploit del kernel, né bisogna aggirare il System Integrity Protection (SIP) di Apple. Parliamo di qualcosa che, sulla carta, non dovrebbe essere possibile con le difese attuali del sistema operativo.
Il team di XM Cyber ha sviluppato uno strumento chiamato XM Hunter come prova concreta della falla, e lo presenterà alla conferenza Black Hat prevista per agosto. Il meccanismo è subdolo ma elegante: l’attaccante deve prima trovare un modo per accedere al Mac, che sia fisicamente o tramite tecniche di ingegneria sociale. Una volta dentro, installa un’app firmata in modo legittimo. Quando macOS memorizza nella cache l’impronta di fiducia dell’applicazione, il gioco è fatto. A quel punto l’attaccante può modificare il bundle dell’app inserendo un payload malevolo. La parte più inquietante? Secondo XM Cyber, l’attacco non attiva le firme standard degli exploit e non lascia tracce evidenti nei log di sistema.
E non è tutto. La vulnerabilità macOS funziona anche su Mac protetti da strumenti di sicurezza enterprise. I ricercatori sono riusciti a compromettere sistemi con CrowdStrike Falcon Sensor e Kandji MDM Agent attivi. Entrambe le aziende hanno poi aggiornato i propri software per correggere il problema. Apple, dal canto suo, non ha rilasciato dichiarazioni pubbliche riguardo alle scoperte di XM Cyber.
Come proteggersi da questa minaccia
La buona notizia è che difendersi non richiede competenze tecniche particolari. La regola d’oro resta sempre la stessa: evitare di scaricare software da siti poco conosciuti o non verificati. Non bisogna mai installare applicazioni suggerite da persone sconosciute o non autorizzate a fornire supporto tecnico. E attenzione ai link ricevuti via email o messaggi da fonti inaspettate. Anche quando un messaggio sembra provenire da un’azienda con cui si hanno rapporti, vale la pena controllare l’indirizzo del mittente e ispezionare con cura l’URL. Un trucco utile: fare clic tenendo premuto Control su un link, selezionare “Copia indirizzo link” e incollarlo in un editor di testo per verificarlo prima di aprirlo.
Il Mac App Store resta il canale più sicuro per ottenere applicazioni, dato che Apple verifica il software presente al suo interno. Chi preferisce acquistare direttamente dagli sviluppatori dovrebbe farlo solo attraverso i siti ufficiali. E chi utilizza software craccato? Beh, il rischio malware è praticamente garantito, senza mezze misure.
Aggiornamenti di sicurezza: mai rimandarli
Apple integra diverse protezioni all’interno di macOS e distribuisce patch di sicurezza tramite gli aggiornamenti del sistema operativo. Installarli appena disponibili non è un consiglio, è una necessità. Anche quando Apple ritira temporaneamente un aggiornamento, lo ripubblica non appena le correzioni necessarie sono state applicate. Tenere il proprio Mac aggiornato è ancora il modo più semplice ed efficace per ridurre l’esposizione a minacce come questa vulnerabilità macOS appena scoperta.
