Cerca nel blog

2006/02/21

Brutta falla in Safari, Mail e Mac OS X, turatela subito: sta peggiorando

Questo articolo vi arriva grazie alle gentili donazioni di "marcoben****", "ufic" e "info@bbviare****.it".
L'articolo è stato aggiornato abbondantemente rispetto alla sua pubblicazione iniziale.

L'Internet Storm Center segnala una falla molto grave per gli utenti Mac: riguarda Safari, il browser di Mac OS X, Mail (il programma di posta preinstallato sui Mac) e più in generale l'intero sistema operativo. La falla consente di eseguire qualsiasi comando, a scelta dell'aggressore, sul computer della vittima semplicemente inducendola a visitare un sito-trappola con Safari oppure inviando alla vittima un e-mail appositamente confezionato.

In altre parole, questa è una falla grave come quelle che siamo abituati a vedere in Internet Explorer sotto Windows, dove per infettarsi basta appunto visitare una pagina Web ostile o ricevere un allegato traditore.

Inizialmente si pensava che la falla riguardasse soltanto Safari, ma ora si è estesa anche a Mail e, più in generale, al sistema operativo Mac OS X e al suo modo di gestire i file tramite Finder. Safari e Mail semplificano l'attacco, ma non sono indispensabili.

Per esempio, è possibile inviare un e-mail contenente un allegato che sfrutta la falla: se Mail apre l'allegato, che sembra essere un'immagine, ne esegue invece i comandi.

Il rimedio consigliato, in attesa di una pezza da Apple, è su vari livelli, che vanno applicati tutti:
  • non usare Safari, preferendo altri browser (per esempio Firefox), che non consentono l'esecuzione automatica dell'attacco;
  • se si usa Safari, disattivare l'opzione "Apri doc. "sicuri" dopo il download" (si trova in Preferenze - Generale, ed è imprudentemente attiva di default);
  • non lavorare con privilegi di amministratore (cosa che purtroppo avviene con la normale installazione di Mac OS X), ma creare un utente non privilegiato per il lavoro normale. Questo immunizza Mac OS X da questa forma di attacco.
  • non usare Mail (usando altri programmi, come Thunderbird, che sono immuni al problema) o fare molta attenzione a tutti gli allegati, evitando di aprirli cliccandovi sopra in Mail e salvandoli invece manualmente per poi aprirli dopo un controllo descritto qui sotto.

I dettagli tecnici del funzionamento della falla sono ampiamente descritti dalla pagina dell'Internet Storm Center già citata, per cui li salto qui in favore di una descrizione dei suoi effetti e di alcuni test per verificare se siete vulnerabili o no.


Il test di Michael Lehn


Il primo test è questo: visitate con Safari la pagina Web che ospita il proof of concept creato dallo scopritore iniziale della falla, Michael Lehn. Un proof of concept è una versione innocua dimostrativa di come si può sfruttare una falla.

Se siete vulnerabili, Safari scarica automaticamente un file di nome Mac-TV-stream.mov.zip (dall'aria insomma abbastanza innocua) e lo scompatta altrettanto automaticamente; poi esegue uno script che apre una finestra di Terminale, nella quale compare ripetutamente la scritta Hallo Welt ("Ciao mondo" in tedesco, adattamento del classico testo "Hello world" dei programmi per principianti). Al posto di quella scritta potrebbe esserci qualsiasi comando (un comando di cancellazione di tutti i vostri file, per esempio).

Visitando la medesima pagina Web con Safari come utente non privilegiato, la falla è inefficace: compare soltanto un avviso di Quicktime che segnala che il documento non è in un formato riconosciuto.

Impostando Safari in modo che non apra automaticamente i file "sicuri", il file ostile di prova viene scaricato e scompattato, ma è necessario lanciarlo manualmente. Se lo si lancia come utente non privilegiato, non accade nulla di dannoso (compare l'avviso di Quicktime); se lo si lancia come utente amministratore, il file viene eseguito. Questo significa che la falla è sfruttabile, sia pure in modo meno agevolato, anche tramite un allegato e-mail o altri browser: basta indurre l'utente amministratore ad aprire il file.


Il test Secunia


Anche Secunia ha una pagina informativa e un test innocuo. Il test di Secunia consiste nel cliccare su un link: chi è vulnerabile si vedrà lanciare automaticamente la Calcolatrice. Ecco i risultati sul mio iBook con OS X Tiger 10.4.5:
  • con Firefox usato come amministratore, il test Secunia fallisce;
  • con Safari usato come amministratore e l'apertura dei file "sicuri" disattivata, il test fallisce;
  • con Safari usato come amministratore e l'apertura dei file "sicuri" attivata, il test ha successo e si apre una finestra di Terminale che lancia la Calcolatrice;
  • con Safari usato come utente non privilegiato e l'apertura dei file "sicuri" attivata, il test fallisce: compare un avviso di Quicktime ma non viene eseguito nulla.


Il test via e-mail di Heise.de: il rischio peggiora


Dopo la pubblicazione della prima segnalazione del problema, il sito tedesco Heise.de, che aveva segnalato la prima falla, l'ha approfondita, scoprendo che si estende anche a Mail.app.

Heise.de ha preparato un test innocuo: la pagina è in tedesco, ma basta cliccare su Skript in Apple Mail, digitare il proprio indirizzo di e-mail nella casella e cliccare su Anfordern per ricevere (intasamento del sito permettendo) un e-mail con istruzioni in tedesco.

L'e-mail invita a cliccare su un link (tranquilli, non è una trappola) in modo da aprirlo con un qualsiasi browser. Solo a questo punto ricevete un e-mail contenente il test. Potete verificarne l'autenticità guardando il codice segreto indicato nella pagina Web comparsa quando avete cliccato sul link (il codice è la parola in grassetto dopo in Klammern das Wort).

L'e-mail che arriva da Heise contiene un allegato che sembra essere un'immagine JPG (a giudicare dall'icona), ma in realtà è uno script. Se usate Mail e non avete disabilitato la visualizzazione delle immagini, il fatto che l'immagine non sia visualizzata potrebbe far sorgere un dubbio negli osservatori attenti, ma è facile non accorgersi dell'anomalia. Cliccando sull'allegato in Mail, viene eseguito uno script che apre una finestra di Terminale ed elenca i file presenti in una directory. Lo script avrebbe potuto, per esempio, cancellare tutti i file dell'utente.

Contro questa falla non serve a nulla usare un account non privilegiato: l'effetto è esattamente lo stesso sia usando un utente amministratore, sia usando un utente normale.

Ahi, ahi, ahi.

Per risolvere il guaio, in attesa di correzioni da Apple, chi usa Mail deve evitare di fare clic sugli allegati, e deve invece salvarli e poi esaminarli nel Finder. Le informazioni sui file ricevuti fornite da Ottieni informazioni (clic destro sul file) indicheranno quale applicazione li aprirà: se è Terminale, si tratta di un file ostile, che va quindi eliminato.


Finder, lo schizofrenico


Il problema, stando all'Internet Storm Center, è nella gestione schizofrenica dei file da parte del Finder. Per decidere quale icona mostrare all'utente, il Finder usa sempre e solo l'estensione del file.

Per decidere invece cosa fare con il file, il Finder guarda i permessi del file. Se il file ha i permessi di esecuzione, il Finder lo esegue passandolo a Terminale.app. Se non li ha, il Finder lo gestisce in base all'estensione.

Mail.app è vulnerabile perché gestisce la specificazione dei permessi negli allegati, ossia gestisce il Content-type x-unix-mode. Se l'e-mail che contiene l'allegato ha questo Content type impostato a 0755, Mail salva e gestisce il file come eseguibile. Altri programmi di posta, come Thunderbird, non hanno questa gestione e quindi non rendono eseguibile l'allegato.


Approfondimenti


La discussione della falla su Slashdot è qui. Secondo ZDNet, Apple è già al lavoro per creare una patch ma non si è sbilanciata su quando sarà disponibile.

Non ci sono per ora segnalazioni di siti o di attacchi via e-mail che sfruttano questa falla, ma è soltanto questione di tempo. Prendete le opportune precauzioni, e occhio agli allegati e a quello che scaricate, anche se sembra un file innocuo mandato da un amico.

28 commenti:

Anonimo ha detto...

Ciao Paolo,

non sapevo che una normale installazione di Mac OS X comportasse di default il suo utilizzo come amministratore. Essendo infatti, come Linux, un sistema unix/like, pensavo contemplasse la possibilità di attivare un account come normale utente.

Nei sistemi Linux, o almeno nelle distro che ho provato io, è così. Anzi, in alcune (tipo Mandriva) se non attivi un account non root in fase di installazione compare un avviso di allerta del pericolo.

Che strano...

Anonimo ha detto...

Grazie per la segnalazione, per ora ho solo modificato le impostazioni di Safari... Speriamo bene, ultimamente si avverte qualche scricchiolìo di troppo nella famigerata solidità di OsX e applicazioni relative :-(

Anonimo ha detto...

Attenzione, non mi pare che usare un account non admin serva a qualcosa: ho appena provato a scaricare il file proof of concept con un utente standard, e la finestra di terminale è apparsa lo stesso.

Finora l'unico modo per evitare guai (oltre a seguire il consiglio di non scaricare file sospetti) è quello di guardare le Info del file, per scoprire che nonostante l'icona di Quicktime si tratta di un documento del Terminale.

Qualche altra informazione: sembra che scompattando il file zippato con Stuffit invece che con il Boma_helper, l'utility di sistema, il file ottenuto perda l'icona di Quicktime (almeno su qualche sistema)

Ugo

Anonimo ha detto...

uhm... perchè ultimamente troviamo virus per mac, falle in mac e cose negative in generale, sempre riguardanti MAC? Mi rivolgo a te Paolo, naturalmente tutti possono rispondere :-D : non vorrei essere ripetitivo ma non è possibile che, dato che anche il prossimo MAC OS sarà un sotware TC, la maggior parte degli hacker, appunto per questo motivo, si mette contro Macintosh? Grazie

Anonimo ha detto...

P.S. altro piccolo suggerimento: è possibile attivare dal menu Vista del Finder (Opzioni vista), la voce "Mostra info elemento". In questo modo alcuni tipi di file (Jpg e mov di sicuro) mostrano, sotto l'icona e il nome del file stesso delle informazioni supplementari (le dimensioni in pixel per i jpg e la durata in minuti e secondi per i mov). Ovviamente il mov incriminato *non* ha tale informazione, non essendo un vero filmato, e questo può aiutare nell'identificarlo

Gacattos ha detto...

E così lo zio Bill si è dato alla caccia grossa.......va per safari.......
Per ora solo i pinguini scivolano sul ghiaccio sicuri.

Anonimo ha detto...

Scusa Paolo, ma ho "degradato" il mio utente da amministratore ad utente normale, riavviato il Mac (per sicurezza) ed eseguito la prova... risultato: funziona ugualmente.
Tutto questo con OSX 10.3.9.
Sono comunque perfettamente d'accordo con te che i danni che puo' compiere un eventuale attacco risultano inferiori (anche se i miei files dati potrebbero venir cancellati o rovinati).

Anonimo ha detto...

Chiedo aiuto! Come si fa a trasformare un utente amministratore in un utente standard? Anche da root il mio powerbook non me lo fa fare! (sicuramente non sono capace io).

Anonimo ha detto...

Un anonimo ha detto...

Chiedo aiuto! Come si fa a trasformare un utente amministratore in un utente standard? Anche da root il mio powerbook non me lo fa fare! (sicuramente non sono capace io).

Ooops! Scusate non mi ero accorto del nuovo articolo che parlava propio di quello che ho richiesto!

Giorgio Loi ha detto...

uhm... perchè ultimamente troviamo virus per mac, falle in mac e cose negative in generale, sempre riguardanti MAC?

Forse semplicemente perché Paolo, essendo sempre più intruppato nel mondo MAC, gli sta prestando una crescente attenzione.

E noi poveri windowisti resteremo soli e abbandonati in un mare di insidie, sigh!

;-)

Paolo Attivissimo ha detto...

Non temere, le falle principali di Win le segnalerò sempre, finché Win è il sistema operativo più diffuso. E' vero che adesso dedico attenzioni anche al mondo Mac perché ormai è un anno e mezzo che ho adottato un paio di Mac come laptop da viaggio e macchina primaria. Tengo però un PC Win per i test e per il riconoscimento voce e un PC con su Linux Ubuntu per tenere d'occhio anche il mondo Linux; attivissimo.net, inoltre, gira su Linux, per cui giocoforza seguo anche questo tema.

Credo che ci sia molto interesse anche da parte degli aggressori verso il mondo Mac, ultimamente, perché la quota di mercato Apple sta salendo notevolmente (pur restando irrisoria rispetto ai PC Win/Linux) e perché scrivere un virus per Mac rende famosi nel mondo dei vandali e della sicurezza informatica (è una novità), mentre un virus per Win è semplicemente l'ennesima scocciatura.

Anonimo ha detto...

ho provato sia con un utente degradato che con un utente non privilegiato e la falla rimane. Comunque , almeno in tiger, anche se un utente puo amministrare la macchina non ha i privilegi di root visto che ogni aggiornamento richiede la password di amministratore , il che mi viene da pensare che venga utilizzato il comando sudo. Quindi l'utilizzo di questa falla può danneggiare solo la home dell'utente colpito e non il sistema operativo o altri utenti presenti nella macchina.

Sheldon Pax ha detto...

Eh, era troppo belllo per durare, 'sta storia del "Mac che non interessa a nessuno", fortyuna che il comando per alzare gli scudi c'è ed è in vista al contrario di windows dove se usi amministratore+utente normale, molti programmi fanno i capricci.

Vabbuo' togliamo il cartello "Isola felice" e prepariamo la contraerea (ClamXav è già pronto a riconoscere i due trojan).

E che a Cupetino riescano a turarla entro la prossima settimana!

Agnese ha detto...

Posso concedermi una sana ghignata? :-P
Anche se poi alla fine ride bene chi ride ultimo... come disastrata utente winzozz ho poco da ridere, lasciatemelo fare un pochino almeno in questa occasione :-D

Anonimo ha detto...

Mi sa che c'hai poco da ride... faresti bene a passare al Mac invece :)
In confronto ai problemi di Win, questi del Mac fanno... ridere...

Anonimo ha detto...

Ah, cara vecchia sana abitudine di creare sempre un account limitato e di NON usare Safari e Mail in favore di Firefox e Thunderbird :-) Ho trasformato il mio Mac in una distribuzione Linux, ih ih ih!
Comunque la cosa sembra preoccupante; non ho ancora provato il proof of concept perche' sono sulla macchina Linux... Ho Tiger 10.4.5, qualcuno ha gia' provato se e' vulnerabile allo stesso modo?

Federico D'Ambrosio ha detto...

Uhm, io ho disattivato il "Apri doc. sicuri dopo il download" ed il problema è sparito.
Ah, l'amministratore non è il root ma solamente un utente che ha diritto ad usare il sudo, cosa che l'utente "gestito" (come lo chiama l'OS) non può fare.

Anonimo ha detto...

Unsanity ha un fix (basato su Application Enhancer, con sorgente allegato per i paranoici) e un'analisi tecnica esaustiva del perché Servizi di Avvio faccia 'sto macello. Esame e fix di Unsanity

Re: Andrea, un amministratore su Mac è un utente del gruppo admin, non root. Gli utenti del gruppo admin hanno però di default permessi rwx sulle cartelle /Applicazioni e /Libreria, che contengono le impostazioni systemwide, ma non su /Sistema, che contiene l'OS e la roba che gira come root.

Paolo Attivissimo ha detto...

Ho Tiger 10.4.5, qualcuno ha gia' provato se e' vulnerabile allo stesso modo?

Il primo POC funziona su Tiger 10.4.5 (che ho sui miei due Mac) solo se sei admin. Sto testando gli altri, ne parlo nell'articolo qui sopra, che sto aggiornando massicciamente.

Anonimo ha detto...

Paolo, il primo POC funziona su Panther anche se sei utente standard, esperienza personale...

Anonimo ha detto...

riguardo alla falla io per ora credo di averla risolta semplicemente rinominando Terminale.app con un altro nome del tipo "Sterminale". Ho fatto la varie prove e mi ha dato risultati positivi: l'avviso di QuickTime che il documento non e' riconosciuto e non puo' aprirlo.
Credo che anche spostando l'applicazione Terminale in un altra cartella si risolva il problema, almeno momentaneamente.
Ora vado a provare...
Ciao

Anonimo ha detto...

io ho trovato funzionante, come protezione, spostare fisicamente l'applicazione Terminal.app da un'altra parte (in pratica cambiando il percorso il suo aggancio preimpostato dul documento dell'attaccante va in fumo)
questo evita tutti gli attacchi descritti che utilizzano comandi di shell, ovviamente pero' qualsiasi altra applicazione scriptabile e' attaccabile
certo e' che se e' vero che il mac e' semplice da usare, ora, con una falla del genere, e veramente facile sbizzarrirsi in attacchi di ogni tipo
credo proprio che a cupertino parecchia gente anche questa notte faccia il dritto...

Anonimo ha detto...

Mi sa che c'hai poco da ride... faresti bene a passare al Mac invece :)
In confronto ai problemi di Win, questi del Mac fanno... ridere...


ricrediti

Anonimo ha detto...

Ho provato il test di secunia con 10.3.9 e safari (senza esecuzione automatica): scaricato il file, scompattato, doppiocliccato sul file, ed e` partito un Terminal e una calcolatrice

Sinceramente mi sembra che Safari o Mail non c'entrino, il problema sta in Finder, semmai.

Mi piacerebbe capire se la cosa possa bypassare i permessi, o se richieda sudo (e nel caso, se sia in grado di far apparire la finestra di autenticazione, o se richieda la password a terminale)

Anonimo ha detto...

da quello che mi ricordo degli script shell credo non possa eseguire comandi particolari, che necessitano di permessi di root, senza averli.

Anonimo ha detto...

mario carmine ha detto
non è possibile che, dato che anche il prossimo MAC OS sarà un sotware TC...

Caro Mario, spero tu ti renda conto che quella che hai scritto sopra è pura disinformazione.

Anonimo ha detto...

se fosse stata una falla Microsoft ne avresti dette di tutti i colori contro Gates.... cos'è paolo.. a un MAC è concesso tutto????

saluti

Anonimo ha detto...

E' uscito da poco la patch: http://www.apple.com/support/downloads/securityupdate2006001macosx1045ppc.html