Cerca nel blog

2006/02/21

Brutta falla in Safari, Mail e Mac OS X, turatela subito: sta peggiorando

Questo articolo vi arriva grazie alle gentili donazioni di "marcoben****", "ufic" e "info@bbviare****.it".
L'articolo è stato aggiornato abbondantemente rispetto alla sua pubblicazione iniziale.

L'Internet Storm Center segnala una falla molto grave per gli utenti Mac: riguarda Safari, il browser di Mac OS X, Mail (il programma di posta preinstallato sui Mac) e più in generale l'intero sistema operativo. La falla consente di eseguire qualsiasi comando, a scelta dell'aggressore, sul computer della vittima semplicemente inducendola a visitare un sito-trappola con Safari oppure inviando alla vittima un e-mail appositamente confezionato.

In altre parole, questa è una falla grave come quelle che siamo abituati a vedere in Internet Explorer sotto Windows, dove per infettarsi basta appunto visitare una pagina Web ostile o ricevere un allegato traditore.

Inizialmente si pensava che la falla riguardasse soltanto Safari, ma ora si è estesa anche a Mail e, più in generale, al sistema operativo Mac OS X e al suo modo di gestire i file tramite Finder. Safari e Mail semplificano l'attacco, ma non sono indispensabili.

Per esempio, è possibile inviare un e-mail contenente un allegato che sfrutta la falla: se Mail apre l'allegato, che sembra essere un'immagine, ne esegue invece i comandi.

Il rimedio consigliato, in attesa di una pezza da Apple, è su vari livelli, che vanno applicati tutti:
  • non usare Safari, preferendo altri browser (per esempio Firefox), che non consentono l'esecuzione automatica dell'attacco;
  • se si usa Safari, disattivare l'opzione "Apri doc. "sicuri" dopo il download" (si trova in Preferenze - Generale, ed è imprudentemente attiva di default);
  • non lavorare con privilegi di amministratore (cosa che purtroppo avviene con la normale installazione di Mac OS X), ma creare un utente non privilegiato per il lavoro normale. Questo immunizza Mac OS X da questa forma di attacco.
  • non usare Mail (usando altri programmi, come Thunderbird, che sono immuni al problema) o fare molta attenzione a tutti gli allegati, evitando di aprirli cliccandovi sopra in Mail e salvandoli invece manualmente per poi aprirli dopo un controllo descritto qui sotto.

I dettagli tecnici del funzionamento della falla sono ampiamente descritti dalla pagina dell'Internet Storm Center già citata, per cui li salto qui in favore di una descrizione dei suoi effetti e di alcuni test per verificare se siete vulnerabili o no.


Il test di Michael Lehn


Il primo test è questo: visitate con Safari la pagina Web che ospita il proof of concept creato dallo scopritore iniziale della falla, Michael Lehn. Un proof of concept è una versione innocua dimostrativa di come si può sfruttare una falla.

Se siete vulnerabili, Safari scarica automaticamente un file di nome Mac-TV-stream.mov.zip (dall'aria insomma abbastanza innocua) e lo scompatta altrettanto automaticamente; poi esegue uno script che apre una finestra di Terminale, nella quale compare ripetutamente la scritta Hallo Welt ("Ciao mondo" in tedesco, adattamento del classico testo "Hello world" dei programmi per principianti). Al posto di quella scritta potrebbe esserci qualsiasi comando (un comando di cancellazione di tutti i vostri file, per esempio).

Visitando la medesima pagina Web con Safari come utente non privilegiato, la falla è inefficace: compare soltanto un avviso di Quicktime che segnala che il documento non è in un formato riconosciuto.

Impostando Safari in modo che non apra automaticamente i file "sicuri", il file ostile di prova viene scaricato e scompattato, ma è necessario lanciarlo manualmente. Se lo si lancia come utente non privilegiato, non accade nulla di dannoso (compare l'avviso di Quicktime); se lo si lancia come utente amministratore, il file viene eseguito. Questo significa che la falla è sfruttabile, sia pure in modo meno agevolato, anche tramite un allegato e-mail o altri browser: basta indurre l'utente amministratore ad aprire il file.


Il test Secunia


Anche Secunia ha una pagina informativa e un test innocuo. Il test di Secunia consiste nel cliccare su un link: chi è vulnerabile si vedrà lanciare automaticamente la Calcolatrice. Ecco i risultati sul mio iBook con OS X Tiger 10.4.5:
  • con Firefox usato come amministratore, il test Secunia fallisce;
  • con Safari usato come amministratore e l'apertura dei file "sicuri" disattivata, il test fallisce;
  • con Safari usato come amministratore e l'apertura dei file "sicuri" attivata, il test ha successo e si apre una finestra di Terminale che lancia la Calcolatrice;
  • con Safari usato come utente non privilegiato e l'apertura dei file "sicuri" attivata, il test fallisce: compare un avviso di Quicktime ma non viene eseguito nulla.


Il test via e-mail di Heise.de: il rischio peggiora


Dopo la pubblicazione della prima segnalazione del problema, il sito tedesco Heise.de, che aveva segnalato la prima falla, l'ha approfondita, scoprendo che si estende anche a Mail.app.

Heise.de ha preparato un test innocuo: la pagina è in tedesco, ma basta cliccare su Skript in Apple Mail, digitare il proprio indirizzo di e-mail nella casella e cliccare su Anfordern per ricevere (intasamento del sito permettendo) un e-mail con istruzioni in tedesco.

L'e-mail invita a cliccare su un link (tranquilli, non è una trappola) in modo da aprirlo con un qualsiasi browser. Solo a questo punto ricevete un e-mail contenente il test. Potete verificarne l'autenticità guardando il codice segreto indicato nella pagina Web comparsa quando avete cliccato sul link (il codice è la parola in grassetto dopo in Klammern das Wort).

L'e-mail che arriva da Heise contiene un allegato che sembra essere un'immagine JPG (a giudicare dall'icona), ma in realtà è uno script. Se usate Mail e non avete disabilitato la visualizzazione delle immagini, il fatto che l'immagine non sia visualizzata potrebbe far sorgere un dubbio negli osservatori attenti, ma è facile non accorgersi dell'anomalia. Cliccando sull'allegato in Mail, viene eseguito uno script che apre una finestra di Terminale ed elenca i file presenti in una directory. Lo script avrebbe potuto, per esempio, cancellare tutti i file dell'utente.

Contro questa falla non serve a nulla usare un account non privilegiato: l'effetto è esattamente lo stesso sia usando un utente amministratore, sia usando un utente normale.

Ahi, ahi, ahi.

Per risolvere il guaio, in attesa di correzioni da Apple, chi usa Mail deve evitare di fare clic sugli allegati, e deve invece salvarli e poi esaminarli nel Finder. Le informazioni sui file ricevuti fornite da Ottieni informazioni (clic destro sul file) indicheranno quale applicazione li aprirà: se è Terminale, si tratta di un file ostile, che va quindi eliminato.


Finder, lo schizofrenico


Il problema, stando all'Internet Storm Center, è nella gestione schizofrenica dei file da parte del Finder. Per decidere quale icona mostrare all'utente, il Finder usa sempre e solo l'estensione del file.

Per decidere invece cosa fare con il file, il Finder guarda i permessi del file. Se il file ha i permessi di esecuzione, il Finder lo esegue passandolo a Terminale.app. Se non li ha, il Finder lo gestisce in base all'estensione.

Mail.app è vulnerabile perché gestisce la specificazione dei permessi negli allegati, ossia gestisce il Content-type x-unix-mode. Se l'e-mail che contiene l'allegato ha questo Content type impostato a 0755, Mail salva e gestisce il file come eseguibile. Altri programmi di posta, come Thunderbird, non hanno questa gestione e quindi non rendono eseguibile l'allegato.


Approfondimenti


La discussione della falla su Slashdot è qui. Secondo ZDNet, Apple è già al lavoro per creare una patch ma non si è sbilanciata su quando sarà disponibile.

Non ci sono per ora segnalazioni di siti o di attacchi via e-mail che sfruttano questa falla, ma è soltanto questione di tempo. Prendete le opportune precauzioni, e occhio agli allegati e a quello che scaricate, anche se sembra un file innocuo mandato da un amico.

Nessun commento: