O investigador Linus Henze revelou a existência de uma vulnerabilidade de dia zero no macOS Mojave que pode ser explorada por malwares in-the-wild de forma a roubar passwords em plain-text do Keychain.
De acordo com Henze, a falha afeta o MacOS Mojave e as suas versões anteriores.
O próprio investigador publicou um vídeo PoC que mostra como usar malware para extrair passwords do sistema de gestão de palavras-passe do Keychain.
O ataque funciona num sistema que executa a versão mais recente do MacOS Mojave OS (10.14.3).
De acordo com o investigador, não é necessário acesso priviligiado para explorar a falha.
The attack is sneaky because it doesn’t require admin privileges for both the malicious app and the user account. The expert pointed out that the malicious code could exploit the flaw to steal passwords only from that user’s Keychain because other Keychains are locked.
O investigador explicou que não compartilhou a sua descoberta com a gigante de tecnológica porque a empresa não possui um programa de recompensas para caça de bugs em macOS.
A Apple contatou o investigador após a publicação do vídeo pedindo mais detalhes sobre o assunto, mas Henze recusou-se a partilhar detalhes sem uma recompensa por parte da Apple.
Atualmente, o programa de recompensas de bugs da Apple cobre apenas hardware, iOS e iCloud.
O resultado devastador do exploit também já foi confirmado pelo popular ex-white hat hacker Patrick Wardle.
Got to play with @LinusHenze‘s ‘KeySteal’. It’s a lovely bug & exploit 😍😍
✅ works on macOS 10.14.3
✅ his payload dumps passwords, private keys, & tokensProtect yourself by:
🔐manually locking your keychain
🔐or setting a keychain-specific passwordhttps://t.co/K1hhjraH60— patrick wardle (@patrickwardle) February 6, 2019
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.