Punto informatico Network

20081226175853_163967738_20081226175758_1495029030_sadasd.png

Avvistato trojan per Mac OS X

23/06/2008
- A cura di
Zane.
Archivio - E sfrutta una nuova falla di sicurezza che potrebbe consentire di eseguire applicazioni con privilegi di root. Problemi di sicurezza anche in casa Apple?

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

mac os x (1) , mac os (1) , mac (1) , trojan (1) , keylogger (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 244 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Si stanno accalcando rapidamente in Rete voci circa l'esistenza di un cavallo di troia che potrebbe sfruttare una nuova debolezza nel sistema operativo Mac OS X (versioni Tiger e Leopard) per scaricare ed eseguire, con privilegi di root, codice malevolo sul Macintosh della propria vittima. Apple_bug.jpg

La debolezza

Il problema di fondo è localizzato nell'applicazione Apple Remote Desktop Agent, fornita a corredo del sistema operativo Apple.

A quanto pare infatti, il componente sarebbe in grado di eseguire script realizzati in linguaggio Applescript con privilegi di root, indipendentemente dai privilegi dell'utente corrente e senza nemmeno richiedere la password di amministrazione.

Il problema, ben illustrato da Brian Krebs sulle pagine del The Washington Post, può essere facilmente verificato lanciando il seguente comando da una sessione di Terminale: osascript -e 'tell app "ARDAgent" to do shell script "whoami"';. Se l'output è root, significa che lo script è stato eseguito con i massimi privilegi.

Come è facilmente intuibile, il problema è (relativamente) grave: sebbene non possa essere sfruttato direttamente per eseguire codice da remoto, in un ambiente condiviso, come quello di un'università o di una libreria, un visitatore locale potrebbe sfruttare il baco per prendere pieno controllo del sistema, o magari compiere azioni che fungessero da preludio ad un attacco, quali disabilitare il firewall o installare un keylogger.

È invece l'esperto Jay Beale ad offrire una soluzione temporanea al problema: aprire una finestra di Terminale ed impartire il comando osascript -e 'tell app "ARDAgent" to do shell script "chmod 0555 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"';, grazie al quale si sfrutta la debolezza medesima per limitare i privilegi di esecuzione del programma fallato al solo utente root. A questo punto, la falla dovrebbe essere tappata, ed impartendo il comando di verifica precedentemente illustrato dovrebbe essere restituito il nome dell'utente corrente.

Il trojan

Parallelamente alla scoperta della debolezza, ha iniziato a circolare un cavallo di troia - circa il quale però sono disponibili ben poche informazioni.

A quanto pare, si tratterebbe di un file denominato AppleScript.THT che, una volta scaricato ed eseguito manualmente dall'utente, potrebbe sfruttare l'elevazione dei privilegi trattata poco fa per effettuare azioni di ogni tipo: BetaNews cita ad esempio l'installazione di un keylogger, l'attivazione della webcam iSight, l'abilitazione della condivisione dei file e la ridiffusione mediante iChat e Limewire.

Intego Security, società specializzata in soluzioni di sicurezza per Mac, mette in guardia nel frattempo anche circa un secondo trojan per Mac, denominato PokerGame, che sfruta metodi di ingegneria sociale per tentare l'accesso al sistema: non è comunque chiaro al momento quali siano i legami fra questo malware ed il precedente, e nemmeno se la nuova debolezza scoperta sia impiegata o meno.

Ad ogni modo, il file non può nuocere a meno che non venga eseguito manualmente: la raccomandazione - già espressa molte volte agli utenti Windows e qui valida anche per gli aficionado Apple - è quella di trattare con la massima diffidenza qualsiasi file proveniente dall'esterno.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 2.99 sec.
    •  | Utenti conn.: 89
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 2.48