www.MegaLab.it

Si stanno accalcando rapidamente in Rete voci circa l'esistenza di un cavallo di troia che potrebbe sfruttare una nuova debolezza nel sistema operativo Mac OS X (versioni Tiger e Leopard) per scaricare ed eseguire, con privilegi di root, codice malevolo sul Macintosh della propria vittima.

La debolezza

Il problema di fondo è localizzato nell'applicazione Apple Remote Desktop Agent, fornita a corredo del sistema operativo Apple.

A quanto pare infatti, il componente sarebbe in grado di eseguire script realizzati in linguaggio Applescript con privilegi di root, indipendentemente dai privilegi dell'utente corrente e senza nemmeno richiedere la password di amministrazione.

Il problema, ben illustrato da Brian Krebs sulle pagine del The Washington Post, può essere facilmente verificato lanciando il seguente comando da una sessione di Terminale: osascript -e 'tell app "ARDAgent" to do shell script "whoami"';. Se l'output è root, significa che lo script è stato eseguito con i massimi privilegi.

Come è facilmente intuibile, il problema è (relativamente) grave: sebbene non possa essere sfruttato direttamente per eseguire codice da remoto, in un ambiente condiviso, come quello di un'università o di una libreria, un visitatore locale potrebbe sfruttare il baco per prendere pieno controllo del sistema, o magari compiere azioni che fungessero da preludio ad un attacco, quali disabilitare il firewall o installare un keylogger.

È invece l'esperto Jay Beale ad offrire una soluzione temporanea al problema: aprire una finestra di Terminale ed impartire il comando osascript -e 'tell app "ARDAgent" to do shell script "chmod 0555 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"';, grazie al quale si sfrutta la debolezza medesima per limitare i privilegi di esecuzione del programma fallato al solo utente root. A questo punto, la falla dovrebbe essere tappata, ed impartendo il comando di verifica precedentemente illustrato dovrebbe essere restituito il nome dell'utente corrente.

Il trojan

Parallelamente alla scoperta della debolezza, ha iniziato a circolare un cavallo di troia - circa il quale però sono disponibili ben poche informazioni.

A quanto pare, si tratterebbe di un file denominato AppleScript.THT che, una volta scaricato ed eseguito manualmente dall'utente, potrebbe sfruttare l'elevazione dei privilegi trattata poco fa per effettuare azioni di ogni tipo: BetaNews cita ad esempio l'installazione di un keylogger, l'attivazione della webcam iSight, l'abilitazione della condivisione dei file e la ridiffusione mediante iChat e Limewire.

Intego Security, società specializzata in soluzioni di sicurezza per Mac, mette in guardia nel frattempo anche circa un secondo trojan per Mac, denominato PokerGame, che sfruta metodi di ingegneria sociale per tentare l'accesso al sistema: non è comunque chiaro al momento quali siano i legami fra questo malware ed il precedente, e nemmeno se la nuova debolezza scoperta sia impiegata o meno.

Ad ogni modo, il file non può nuocere a meno che non venga eseguito manualmente: la raccomandazione - già espressa molte volte agli utenti Windows e qui valida anche per gli aficionado Apple - è quella di trattare con la massima diffidenza qualsiasi file proveniente dall'esterno.