Um pesquisador de segurança encontrou uma maneira de um invasor explorar a versão macOS do Zoom para ganhar acesso ao sistema operacional.
Detalhes da exploração foram revelados em uma apresentação realizada pelo especialista em segurança do Mac, Patrick Wardle, na conferência Def Con em Las Vegas na sexta-feira. Alguns dos problemas identificados foram corrigidos pelo Zoom, mas Wardle também destacou uma vulnerabilidade não corrigida que continua afetando os sistemas até o momento.
A exploração visa o instalador do aplicativo Zoom, que necessita de permissões especiais de usuário para instalar ou remover o aplicativo Zoom principal de um computador. Embora o instalador solicite a senha do usuário ao adicionar o aplicativo pela primeira vez, Wardle descobriu que uma função de atualização automática estava sendo executada em segundo plano com privilégios de superusuário.
Um ataque de escalonamento de privilégios
Quando o Zoom emitia uma atualização, a função de atualização instalava o novo pacote após verificar se ele estava criptograficamente assinado pelo Zoom. No entanto, um bug na implementação do método de verificação permitia que qualquer arquivo com o mesmo nome do certificado de assinatura do Zoom passasse no teste. Dessa forma, um invasor poderia substituir qualquer programa de malware, fazendo com que ele fosse executado pelo atualizador com privilégios elevados.
O resultado é um ataque de escalonamento de privilégios, presumindo que um invasor já tenha obtido acesso inicial ao sistema alvo e, em seguida, utilize a exploração para obter um nível mais alto de acesso. Nesse cenário, o invasor começa com uma conta de usuário restrita e passa para um tipo de usuário mais poderoso, conhecido como “superusuário” ou “root”, permitindo a manipulação de arquivos na máquina.
Wardle é o fundador da Objective-See Foundation, uma organização sem fins lucrativos que desenvolve ferramentas de segurança de código aberto para macOS. Anteriormente, na conferência de segurança cibernética Black Hat, Wardle detalhou o uso não autorizado de algoritmos retirados de seu software de segurança de código aberto por empresas com fins lucrativos.
“Foi realmente frustrante esperar… seis, sete, oito meses”
Seguindo protocolos de divulgação responsável, Wardle informou o Zoom sobre a vulnerabilidade em dezembro do ano passado. No entanto, uma correção inicial do Zoom continha outro bug, o que significa que a vulnerabilidade ainda era explorável de maneira indireta. Ele divulgou esse segundo bug ao Zoom e esperou oito meses antes de publicar a pesquisa.
“Para mim, isso foi um pouco problemático porque não apenas relatei os bugs ao Zoom, mas também sugeri correções no código”, disse Wardle ao The Verge em uma ligação antes da palestra. “Portanto, foi realmente frustrante esperar seis, sete, oito meses, sabendo que todas as versões do Zoom para Mac estavam vulneráveis nos computadores dos usuários.”
Algumas semanas antes do evento Def Con, Wardle disse que o Zoom lançou um patch que corrigiu os bugs que ele havia descoberto inicialmente. No entanto, ao analisar mais de perto, outro pequeno erro significava que o bug ainda era explorável.
Na nova versão do instalador de atualização, um pacote a ser instalado é primeiro movido para um diretório de propriedade do usuário “root”. Geralmente, isso significa que nenhum usuário sem permissão de root pode adicionar, remover ou modificar arquivos neste diretório. No entanto, devido a uma sutileza dos sistemas Unix (dos quais o macOS faz parte), quando um arquivo existente é movido de outro local para o diretório raiz, ele mantém as mesmas permissões de leitura e gravação. Portanto, neste caso, ainda pode ser modificado por um usuário comum. E como pode ser modificado, um usuário mal-intencionado ainda pode trocar o conteúdo desse arquivo por um arquivo de sua escolha e usá-lo para se tornar root.
Embora esse bug esteja atualmente ativo no Zoom, Wardle diz que é muito fácil de corrigir e espera que falar sobre isso publicamente “lubrifique as rodas” para que a empresa cuide dele mais cedo ou mais tarde.
Em uma declaração ao The Verge, Matt Nagel, líder de relações públicas de segurança e privacidade da Zoom, disse: “Estamos cientes da vulnerabilidade recentemente relatada no atualizador automático Zoom para macOS e estamos trabalhando diligentemente para resolvê-la”.