Pesquisadores de segurança da Microsoft encontraram uma exploração do macOS que pode alterar as permissões do TCC
Janeiro 12, 2022

Pesquisadores de segurança da Microsoft encontraram uma exploração do macOS que pode alterar as permissões do TCC

Por Ricardo Marques
Ad

Por que é importante: Na segunda-feira, a Microsoft divulgou publicamente uma vulnerabilidade no macOS que pode ser usada para acessar ou exfiltrar dados confidenciais de usuários. A exploração é facilitada por uma falha na estrutura de Transparência, Consentimento e Controle (TCC). A plataforma TCC faz parte do macOS que permite aos usuários controlar quais aplicativos podem acessar os dados, arquivos e componentes dos usuários.

A equipe de pesquisa do Microsoft 365 Defender apelidou a vulnerabilidade (CVE-2021-30970) de “powerdir” em homenagem à exploração de software criada pelo pesquisador da Microsoft Jonathan Bar Or. A Microsoft notificou Cupertino sobre a falha de segurança em julho de 2021. A Apple corrigiu a falha em dezembro com o macOS 11.6 e 12.1.

“Descobrimos que é possível alterar programaticamente um destino diretório inicial do usuário e plantar um banco de dados TCC falso, que armazena o histórico de consentimento de solicitações de aplicativos”, explicou Or. “Se explorada em sistemas não corrigidos, esta vulnerabilidade pode permitir que um agente mal-intencionado orquestre potencialmente um ataque com base nos dados pessoais protegidos do usuário.”

As capturas de tela mostram o programa concedendo Ou acesso ao microfone e à câmera. No entanto, o TCC também mantém permissão para outros componentes, incluindo gravação de tela, Bluetooth, serviços de localização, contatos, fotos e muito mais.

Embora a Microsoft tenha criado o software especificamente para isso tarefa, qualquer aplicativo poderia usar a mesma técnica para explorar o buraco. O invasor precisa de acesso total ao disco ao banco de dados TCC, que pode ser concedido por outros métodos. Uma vez obtido, os hackers podem atribuir ou reatribuir permissões de acesso como quiserem.

Powerdir é o terceiro desvio de TCC encontrado nos últimos dois anos. Os outros dois (CVE-2020-9934 e CVE-2020-27937) foram divulgados e corrigidos em 2020. Outra falha (CVE-2021-30713) encontrada no ano passado em todos os sistemas operacionais da Apple permitiu aos invasores controle arbitrário sobre as permissões, que os hackers ativamente explorado antes de ser corrigido em maio.