Cerca nel blog

2008/06/24

Virus per Mac, attenti ma niente panico

Mele morsicate e cavalli di Troia


Non capita spesso, ma ogni tanto capita. Anche i Mac possono essere oggetto di virus. Ne parla SecureMac, segnalando uno dei rari cavalli di Troia scritti per Mac OS X. Si chiama AppleScript-THT e sfrutta una falla nel Desktop Remoto per caricarsi con privilegi di root.

Ha effetto sulle versioni più recenti di Mac OS X (10.4 e 10.5) e consente agli aggressori di registrare tutto quello che viene digitato sui Mac infetti, di scattare immagini tramite la telecamera integrata, di catturare schermate, di farsi mandare le password degli utenti e di attivare la condivisione dei file. Apre alcune porte nel firewall di Mac OS X e disattiva i log di sistema nel tentativo di non farsi trovare.

Anche se questo cavallo di Troia sfrutta una vulnerabilità del sistema operativo Apple, per infettarsi è comunque necessario scaricare ed aprire il file virale. Maggiori dettagli tecnici sono forniti presso Securemac, che vende un antivirus per Mac.

Come sempre, vale anche per il mondo Mac la normale prudenza (che spesso gli utenti Mac troppo fiduciosi buttano al vento): non aprite file di provenienza dubbia, chiunque ve li abbia mandati.

7 commenti:

Filippo Sironi ha detto...

Il trojan non sfrutta una falla del Desktop Remoto, sfrutta la possibilità di inviare messaggi attraverso Apple Script a qualsiasi programma in esecuzione. Desktop Remoto è in esecuzione (per alcune ragioni) con SUID root e quindi è una delle possibili vie per sfruttare la falla.

Paolo Attivissimo ha detto...

Il trojan non sfrutta una falla del Desktop Remoto

Puoi confermare la fonte di quest'informazione? Securemac ha messo in embargo il funzionamento del trojan e dice che "The Trojan horse exploits a recently discovered vulnerability with the Apple Remote Desktop Agent, which allows it to run as root."

Filippo Sironi ha detto...

Più che una fonte posso dirti di fare una prova.
Preso questo comando, osascript -e 'tell app "ARDAgent" to do shell script "whoami"', è sufficiente sostituire ad ARDAgent una qualsiasi altra applicazione eseguita con SUID root e si ottiene lo stesso comportamento.

Puoi fare la stessa prova che ho fatto io, abiliti l'utente root in Leopard o Tiger, effettui la login con root, apri il Terminale e scrivi
osascript -e 'tell app "Finder" to do shell script "whoami"' otterrai come risposta root.

Lo stesso exploit può quindi essere utilizzato con tutte le applicazioni che girano con i privilegi di root. Dal mio punto di vista la falla risiede nella possibilità di inviare messaggistica Apple Script di questo genere, non nel fatto che ARDAgent giri come root.

Mario ha detto...

perchè ho l'impressione che appena mac sostituirà windows, nelle aziende i pirati informatici faranno spuntare virus e trojan per mac come fossero funghi?!

Dan ha detto...

Perchè non sai come funziona l'informatica, forse..?

Unknown ha detto...

lol sirus ma se ti logghi come root il comando whoami cosa deve rispondere?

Unknown ha detto...

l'exploit sta nel usare i privilegi di root senza averne le credenziali.