{"id":15976,"date":"2020-09-01T20:48:26","date_gmt":"2020-09-01T23:48:26","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15976"},"modified":"2020-11-16T11:47:59","modified_gmt":"2020-11-16T14:47:59","slug":"black-hat-macos-macros-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/black-hat-macos-macros-attack\/15976\/","title":{"rendered":"Como atacar o\u00a0macOS\u00a0com uma macro maliciosa\u00a0"},"content":{"rendered":"

Muitos usu\u00e1rios de computador\u00a0<\/span>macOS<\/span>\u00a0ainda est\u00e3o confiantes de que suas m\u00e1quinas n\u00e3o precisam de prote\u00e7\u00e3o. Pior ainda, os administradores de sistema em empresas onde os funcion\u00e1rios trabalham com hardware Apple costumam ter a mesma opini\u00e3o.<\/span><\/p>\n

Na confer\u00eancia <\/span>Black\u00a0<\/span>Hat<\/span>\u00a0USA 2020<\/span><\/a>, o pesquisador Patrick\u00a0<\/span>Wardle<\/span>\u00a0tentou desiludir o p\u00fablico desse equ\u00edvoco apresentando sua an\u00e1lise de malware para\u00a0<\/span>macOS<\/span>\u00a0e construindo uma cadeia de\u00a0<\/span>exploit<\/span>\u00a0para assumir o controle de um computador Apple.<\/span>\u00a0<\/span><\/p>\n

Microsoft, macros e Mac<\/span>\u00a0<\/span><\/h2>\n

Uma das formas mais comuns de atacar computadores que executam o <\/span>macOS<\/span>\u00a0\u00e9 por meio de documentos com macros maliciosas \u2013 ou seja, por meio de\u00a0<\/span>aplica\u00e7\u00f5es<\/span>\u00a0do Microsoft Office. Na verdade, apesar da disponibilidade dos pr\u00f3prios aplicativos de produtividade da Apple, muitos usu\u00e1rios preferem usar o Microsoft Office. Alguns o fazem por h\u00e1bito; outros para fins de compatibilidade com os documentos que seus colegas criam.<\/span>\u00a0<\/span><\/p>\n

Claro, todo mundo sabe h\u00e1 muito tempo sobre a amea\u00e7a potencial representada por documentos que cont\u00eam macros. Portanto, tanto a Microsoft quanto a Apple possuem mecanismos para proteger o usu\u00e1rio.<\/span>\u00a0<\/span><\/p>\n

A Microsoft alerta os usu\u00e1rios quando eles abrem um documento que cont\u00e9m uma macro. Al\u00e9m disso, se <\/span>mesmo assim\u00a0<\/span>o usu\u00e1rio decidir\u00a0<\/span>habilitar<\/span>\u00a0a macro, o c\u00f3digo \u00e9 executado em uma\u00a0<\/span>sandbox<\/span>, o que, de acordo com os desenvolvedores da Microsoft, evita que o c\u00f3digo acesse os arquivos do usu\u00e1rio ou cause outros danos ao sistema.<\/span>\u00a0<\/span><\/p>\n

Por parte da Apple, a empresa introduziu v\u00e1rios novos recursos de seguran\u00e7a na vers\u00e3o mais recente de seu sistema operacional, o <\/span>macOS<\/span>\u00a0<\/span>Catalina<\/span>. Em particular, isso inclui quarentena de arquivos e \u201c<\/span>notariza\u00e7\u00e3o<\/span>\u201c, que \u00e9 uma tecnologia que impede\u00a0<\/span>a abertura\u00a0<\/span>de execut\u00e1veis \u200b\u200bde fontes externas.<\/span>\u00a0<\/span><\/p>\n

Basicamente, essas tecnologias, combinadas, devem ser suficientes para evitar qualquer dano de macros maliciosas. <\/span>Na<\/span>\u00a0teoria, tudo parece bastante seguro.<\/span>\u00a0<\/span><\/p>\n\n

Uma cadeia de <\/span>exploits<\/span>\u00a0puxa a macro para fora da\u00a0<\/span>sandbox<\/span>\u00a0<\/span><\/h2>\n

Na pr\u00e1tica, entretanto, muitos mecanismos de seguran\u00e7a s\u00e3o implementados de forma bastante problem\u00e1tica. Portanto, os pesquisadores (ou invasores) podem encontrar m\u00e9todos para contorn\u00e1-los. <\/span>Wardle<\/span>\u00a0ilustrou sua apresenta\u00e7\u00e3o demonstrando uma cadeia de\u00a0<\/span>exploits<\/span>.<\/span>\u00a0<\/span><\/p>\n

1.<\/span> Burlando <\/span>o mecanismo que desativa macros<\/span>\u00a0<\/span><\/h3>\n

Veja, por exemplo, o sistema que avisa o usu\u00e1rio quando detecta uma macro em um documento. Na maioria dos casos, funciona como os desenvolvedores pretendiam. Mas, ao mesmo tempo, \u00e9 poss\u00edvel criar um documento no qual a macro seja iniciada automaticamente e sem qualquer notifica\u00e7\u00e3o do usu\u00e1rio, mesmo que as macros tenham sido desabilitadas nas configura\u00e7\u00f5es.<\/span>\u00a0<\/span><\/p>\n

Isso pode ser feito usando o formato de arquivo <\/span>Sylk<\/span><\/a>\u00a0(SLK). O formato, que usa a linguagem macro XLM, foi desenvolvido na d\u00e9cada de 1980 e foi atualizado pela \u00faltima vez em 1986. No entanto, os aplicativos da Microsoft (por exemplo, Excel) ainda suportam\u00a0<\/span>Sylk<\/span>\u00a0por raz\u00f5es de compatibilidade com vers\u00f5es anteriores. Essa vulnerabilidade n\u00e3o \u00e9 nova e foi descrita em detalhes em 2019.<\/span>\u00a0<\/span><\/p>\n

2. Escapando da <\/span>sandbox<\/span>\u00a0<\/span><\/h3>\n

Como j\u00e1 <\/span>dissemos<\/span>, um invasor pode executar uma macro de maneira invis\u00edvel. Mas o c\u00f3digo ainda \u00e9 executado dentro da\u00a0<\/span>sandbox<\/span>\u00a0isolada do MS Office. Como pode um hacker atacar o computador de qualquer maneira? Bem, acontece que n\u00e3o \u00e9 muito dif\u00edcil escapar da\u00a0<\/span>sandbox<\/span>\u00a0da Microsoft em um Mac.<\/span>\u00a0<\/span><\/p>\n

\u00c9 verdade que voc\u00ea n\u00e3o pode modificar arquivos j\u00e1 armazenados em seu computador a partir da <\/span>sandbox<\/span>.\u00a0<\/span>N<\/span>o entanto,\u00a0<\/span>pode <\/span>cri\u00e1-los<\/span><\/i>. Ess<\/span>e<\/span>\u00a0<\/span>exploit<\/span>\u00a0<\/span>j\u00e1 foi usad<\/span>o<\/span>\u00a0para escapar da \u00e1rea restrita antes e parece que a Microsoft lan\u00e7ou uma atualiza\u00e7\u00e3o para fechar a vulnerabilidade. No entanto, o problema n\u00e3o foi realmente resolvido, como um exame mais detalhado do patch mostrou: A corre\u00e7\u00e3o\u00a0<\/span>resolveu<\/span>\u00a0os sintomas, bloqueando a cria\u00e7\u00e3o de arquivos de dentro de locais que alguns dos desenvolvedores consideravam inseguros, como na pasta\u00a0<\/span>LaunchAgents<\/span>, que \u00e9 o local de armazenamento para scripts que s\u00e3o iniciados automaticamente ap\u00f3s uma reinicializa\u00e7\u00e3o.<\/span>\u00a0<\/span><\/p>\n

Mas quem decidiu que a Microsoft levou em considera\u00e7\u00e3o todos os \u201clocais perigosos\u201d ao criar\u00a0<\/span>a<\/span>\u00a0patch?\u00a0<\/span>Acontece que\u00a0<\/span>um script escrito em Python e iniciado a partir de um documento do Office \u2013 e, portanto, executado dentro de uma\u00a0<\/span>sandbox<\/span>\u00a0\u2013 poderia ser usado para criar um objeto chamado \u201cLogin Item\u201d. Um objeto com esse nome \u00e9 iniciado automaticamente quando o usu\u00e1rio efetua login no sistema. O sistema inicia o objeto, ent\u00e3o ele ser\u00e1 executado\u00a0<\/span>(em) fora (\/em)<\/span><\/i>\u00a0da\u00a0<\/span>sandbox<\/span>\u00a0<\/span>do Office e, assim,\u00a0<\/span>dribla\u00a0<\/span>as restri\u00e7\u00f5es de seguran\u00e7a da Microsoft.<\/span>\u00a0<\/span><\/p>\n

3. <\/span>Burlando os mecanismos de seguran\u00e7a da Apple<\/span><\/h3>\n

Portanto, agora sabemos como executar secretamente uma macro e criar um objeto Login Item. Obviamente, os mecanismos de seguran\u00e7a do <\/span>macOS<\/span>\u00a0ainda evitam que<\/span>\u00a0a<\/span>\u00a0<\/span>backdoor<\/span>, que foi cria<\/span>da<\/span>\u00a0por um processo suspeito de dentro da\u00a0<\/span>sandbox<\/span>\u00a0n\u00e3o confi\u00e1vel<\/span>\u00a0<\/span>seja iniciado<\/span>,<\/span>\u00a0certo?<\/span>\u00a0<\/span>\u00a0<\/span><\/p>\n

Por um lado, sim: os mecanismos de seguran\u00e7a da Apple realmente bloqueiam a execu\u00e7\u00e3o do c\u00f3digo obtido dessa forma. Por outro lado, h\u00e1 uma solu\u00e7\u00e3o alternativa: se voc\u00ea inserir um arquivo ZIP como um item de login, no pr\u00f3ximo login o sistema descompactar\u00e1 automaticamente o arquivo.<\/span>\u00a0<\/span><\/p>\n

Tudo o que o invasor <\/span>precisa\u00a0<\/span>\u00e9 escolher o local correto para descompactar o arquivo. Por exemplo, o arquivo pode ser colocado no mesmo diret\u00f3rio que as bibliotecas do usu\u00e1rio, uma etapa acima daquele onde os objetos do tipo\u00a0<\/span>Launch<\/span>\u00a0Agent devem ser armazenados (aqueles que a Microsoft considera corretamente perigosos). O pr\u00f3prio arquivo pode incluir um diret\u00f3rio denominado\u00a0<\/span>LaunchAgents<\/span>, contendo o script do\u00a0<\/span>Launch<\/span>\u00a0Agent.<\/span>\u00a0<\/span><\/p>\n

Depois de descompactado, o script \u00e9 colocado na pasta <\/span>LaunchAgents<\/span>\u00a0para ser executado na reinicializa\u00e7\u00e3o. Tendo sido criado por um programa confi\u00e1vel (o\u00a0<\/span>Archiver<\/span>) e n\u00e3o tendo atributos de quarentena, ele pode ser usado para iniciar algo mais perigoso. Os mecanismos de seguran\u00e7a nem mesmo impedir\u00e3o\u00a0<\/span>a execu\u00e7\u00e3o\u00a0<\/span>deste arquivo.<\/span>\u00a0<\/span><\/p>\n

Como resultado, um invasor pode lan\u00e7ar um mecanismo por meio do <\/span>shell<\/span>\u00a0de comando\u00a0<\/span>Bash<\/span>\u00a0para obter acesso remoto (obtendo assim o chamado\u00a0<\/span>shell<\/span>\u00a0reverso). Este processo\u00a0<\/span>Bash<\/span>\u00a0pode ser usado para baixar arquivos, que tamb\u00e9m n\u00e3o ter\u00e3o o atributo quarentena, permitindo que o invasor baixe c\u00f3digo verdadeiramente malicioso e execute-o sem quaisquer restri\u00e7\u00f5es.<\/span>\u00a0<\/span><\/p>\n

Em resumo:<\/span><\/h3>\n