Patrick Wardle, um white hat muito popular, descobriu uma vulnerabilidade zero-day que permitia a execução de ataques sintéticos mouse-click pelos criminosos.

Patrick Wardle, um white hat muito popular e diretor de research da Digita Security, descobriu uma vulnerabilidade zero-day que poderia permitir que os atacantes imitassem cliques do rato de forma a acederem ao kernel do SO.

Wardle apresentou o seu finding durante a conferência Def Con 2018 em Las Vegas. Ele explicou que usando duas linhas de código foi-lhe permitido encontrar um zero-day da Apple no sistema operativo High Sierra que podia permitir que um invasor local “clicasse”  num aviso de segurança e, assim, carregar uma extensão do kernel.

Uma vez obtido o acesso do Kernel em um Mac, o ataque pode comprometer totalmente o sistema.

A Apple já implementou medidas de segurança para impedir que atacantes imitem cliques do rato para aprovar prompts de segurança apresentados ao utilizador e com isso  tentar executar tarefas que podem potencialmente comprometor todo o sistema.

Patrick Wardle descobriu uma falha que permite que atacantes contornem esse tipo de medidas de segurança através de ataques Synthetic Mouse-Click.

 

Wardle demonstrou que um invasor privilegiado local pode aproveitar vulnerabilidades em extensões de terceiros para o kernel do SO como forma de contornar os requisitos de assinatura de código do kernel da Apple.

Naturalmente Vxers  e hackers começaram a usar ataques sintéticos para contornar esse mecanismo de segurança e imitar o comportamento humano ao aprovar avisos de segurança.

A Apple mitigou o ataque depois de implementar um novo recruso chamado “user Assistend Kernel Extension Loading”.

As últimas versões do macOS, incluindo a High Sierra, introduziram um mecanismo de filtragem para ignorar eventos sintéticos.

“Before an attacker can load a (signed) kernel extension, the user has to click an ‘allow’ button. This recent security mechanism is designed to prevent rogue attacks from loading code into the kernel. If this mechanism is bypassed it’s game over,” Wardle explained.

Wardle descobriu que é possível enganar o macOS usando dois eventos “down” de mouse sintético consecutivos porque o SO os interpreta erradamente como uma aprovação manual.

“For some unknown reason the two synthetic mouse ‘down’ events confuse the system and the OS sees it as a legitimate click,” Wardle said. “This fully breaks a foundational security mechanism of High Sierra.”

 

Para mais detalhes pode aceder a apresentação aqui:

https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Patrick%20Wardle/DEFCON-26-Patrick-Wardle-The-Mouse-Is-Mightier-Synthetic0Reality.pdf