blank

blank

A Apple optou por deixar cerca de 35 a 40% de todos os Macs suportados em risco de vulnerabilidades exploradas ativamente.

Na semana passada, em 31 de março, a Apple corrigiu duas vulnerabilidades de segurança “ativamente exploradas” (ou seja, em estado selvagem, de dia zero) para o macOS Monterey.

Depois de quase uma semana, a Apple ainda não lançou as atualizações de segurança correspondentes para resolver as mesmas vulnerabilidades nas duas versões anteriores do macOS, Big Sur (também conhecido como macOS 11) e Catalina (também conhecido como macOS 10.15).

Ambas as versões do macOS aparentemente ainda estão recebendo patches para “vulnerabilidades significativas” – e vulnerabilidades de dia zero exploradas ativamente certamente se qualificam como significativas. A Apple manteve a prática de corrigir as duas versões anteriores do macOS ao lado da versão atual do macOS por quase uma década. Mas agora, a Apple negligenciou o patch de Big Sur e Catalina para resolver as mais recentes vulnerabilidades exploradas ativamente.

Vamos detalhar qual é o problema e o que a Apple precisa fazer para remediar esse problema sério.

Quais sistemas operacionais da Apple permanecem vulneráveis?

A atualização 12.3.1 do macOS Monterey da Apple , lançada na semana passada, incluiu correções para duas vulnerabilidades exploradas ativamente: CVE-2022-22675 (um bug no AppleAVD) e CVE-2022-22674 (um bug no Intel Graphics Driver). O primeiro permanece sem correção para o macOS Big Sur, e o último parece afetar Big Sur e Catalina.

Esta é a primeira vez desde o lançamento do macOS Monterey que a Apple deixou de corrigir vulnerabilidades exploradas ativamente para Big Sur e Catalina. As três vulnerabilidades exploradas ativamente anteriores foram corrigidas simultaneamente para Monterey, Big Sur e Catalina.

blank
Lista de todas as vulnerabilidades da era do macOS Monterey que a Apple identificou como exploradas ativamente (ou seja, vulnerabilidades de dia zero usadas em ataques in-the-wild). Até agora, a Apple os havia corrigido simultaneamente para todas as três versões suportadas do macOS. Crédito: Intego.

Big Sur: CVE-2022-22675

A Intego confirmou que o macOS Big Sur permanece vulnerável ao CVE-2022-22675 , uma vulnerabilidade explorada ativamente no componente AppleAVD.

Na semana passada, Mickey Jin – um dos principais repórteres de vulnerabilidades do sistema operacional para a Apple – fez engenharia reversa do patch da Apple para o macOS Monterey. Ele então verificou que o macOS Big Sur ainda contém a mesma vulnerabilidade. Jin observou que os Macs baseados em M1 que executam o macOS Big Sur permanecem vulneráveis ​​ao CVE-2022-22675.

Perguntamos várias vezes à Apple sobre isso na semana passada. A Apple não respondeu a nenhuma de nossas perguntas. Permanece um mistério por que a Apple parece ter deliberadamente deixado o macOS Big Sur suscetível a essa vulnerabilidade explorada ativamente. Também não se sabe se um patch pode vir ou não eventualmente (seja porque a Apple já estava planejando ou devido à pressão do público).

Enquanto isso, o macOS Catalina não contém o componente vulnerável, AppleAVD, portanto, o Catalina não é afetado especificamente pelo CVE-2022-22675.

Aliás, de acordo com Jin, parece que o iOS 14 e o iPadOS 14 também são vulneráveis ​​ao CVE-2022-22675 . No entanto, a Apple oficialmente (embora discretamente e sem aviso) parou de oferecer suporte ao iOS e iPadOS 14 em janeiro de 2022 , portanto, não é surpresa que os usuários devam atualizar para a versão mais recente do iOS 15 ou iPadOS 15 para continuar recebendo atualizações de segurança. As atualizações do iOS e iPadOS 15.4.1 da semana passada — que são compatíveis com todos os dispositivos que executam iOS ou iPadOS 14 — fornecem uma correção para CVE-2022-22675.

Por outro lado, o macOS Monterey e o macOS Big Sur abandonaram o suporte para determinados hardwares de Mac, portanto, alguns usuários de Mac não podem atualizar além do Catalina ou do Big Sur para receber atualizações de segurança que atualmente são oferecidas apenas em Monterey.


Big Sur e Catalina: CVE-2022-22674

É altamente provável que o macOS Big Sur e o macOS Catalina sejam vulneráveis ​​ao CVE-2022-22674, a outra vulnerabilidade explorada ativamente que foi corrigida apenas para o macOS Monterey na semana passada.

A Intego está trabalhando ativamente para confirmar que Big Sur e Catalina são afetados. Infelizmente, a Apple não emitiu uma declaração nem respondeu às nossas perguntas. As notas do patch da Apple indicam que o CVE-2022-22674 foi relatado por um “pesquisador anônimo”, dificultando a confirmação independente e conclusiva se a vulnerabilidade afeta as versões anteriores do macOS sem engenharia reversa do patch Monterey da Apple.

No entanto, temos alta confiança de que o CVE-2022-22674 provavelmente afeta o macOS Big Sur e o macOS Catalina. Quase todas as vulnerabilidades no componente Intel Graphics Driver nos últimos anos afetaram todas as versões do macOS.

blank
Para referência, uma lista de vulnerabilidades do driver de gráficos Intel que a Apple corrigiu enquanto o Big Sur era o macOS mais recente. Os patches da Apple indicam que quase todas as vulnerabilidades do Intel Graphics Driver estavam presentes em todas as versões do macOS. Crédito: Intego.

Até que o patch Monterey da Apple para CVE-2022-22674 possa passar por engenharia reversa, a experiência passada é um forte indicador de que a vulnerabilidade provavelmente estará presente tanto no Big Sur quanto na Catalina. A falta de patches para esses sistemas operacionais os deixa altamente suscetíveis a ataques que visam essa vulnerabilidade explorada ativamente.


Outras vulnerabilidades em Big Sur e Catalina

O foco principal deste artigo é apontar a existência de duas novas vulnerabilidades exploradas ativamente no macOS Big Sur e Catalina. No entanto, vale a pena mencionar que também existem dezenas de vulnerabilidades que a Apple não identificou como exploradas ativamente, que permanecem no macOS Big Sur e Catalina.

Uma avaliação preliminar apenas da primeira rodada de patches no lançamento do macOS Monterey em outubro de 2021 indicou que já pode ter havido mais de uma dúzia de vulnerabilidades que não foram corrigidas para versões anteriores do macOS.

A Apple nunca divulgou totalmente suas políticas de patches para o macOS. A Apple uma vez comentou publicamente – em 2003 – que “é política da Apple resolver rapidamente vulnerabilidades significativas em versões anteriores do Mac OS X sempre que possível”. Desde setembro de 2012, a prática da Apple tem sido lançar patches para a versão atual e as duas versões anteriores do macOS, geralmente simultaneamente. Apenas recentemente a pesquisa da Intego trouxe à tona a inconsistência da Apple e a falta de paridade entre os patches de segurança do macOS da empresa (mais sobre isso abaixo).

Quantos Macs são afetados pelas novas vulnerabilidades?

Estimamos que cerca de 35 a 40% de todos os Macs em uso hoje provavelmente são afetados por uma ou ambas as novas vulnerabilidades exploradas ativamente.

blank
Melhor estimativa da participação de mercado da versão atual do macOS.

A Apple tornou difícil determinar a participação de mercado da versão atual do macOS com precisão. Desde o macOS Catalina, a Apple não distingue mais as versões do macOS nas strings do User Agent do navegador; todas as versões do macOS, incluindo Big Sur e Monterey, agora se identificam para servidores Web como Catalina. Nossas melhores estimativas, portanto, são baseadas nas taxas de adoção do macOS pré-Catalina (por exemplo, 20192018) em torno do mesmo ponto no ciclo de lançamento do sistema operacional.

Com essas suposições em mente, estima-se que 55 a 60% de todos os Macs usados ​​ativamente hoje provavelmente executam o macOS Big Sur ou mais antigo e, portanto, permanecem vulneráveis ​​a vulnerabilidades não corrigidas. Aproximadamente dois terços desses 55–60% (ou seja, cerca de 35–40% de todos os Macs usados ​​ativamente hoje) provavelmente rodam o Big Sur ou o Catalina especificamente.

A única maneira de garantir que seu Mac esteja o mais seguro possível contra vulnerabilidades conhecidas é atualizar para o macOS Monterey (supondo que seu Mac seja compatível com ele). A pessoa comum nunca saberia disso, porque a Apple ainda lança patches para Big Sur e Catalina (mais recentemente, apenas três semanas atrás, em 15 de março); não é óbvio para a maioria das pessoas que os patches da Apple para essas versões do macOS estão incompletos e deixam seus Macs vulneráveis ​​a sérios – e em alguns casos ativamente explorados – bugs de segurança.

Alguma coisa assim já aconteceu antes?

Esta não é a primeira vez que observamos a Apple negligenciando a correção de vulnerabilidades sérias, ou mesmo exploradas ativamente.

No ano passado, o analista-chefe de segurança da Intego, Josh Long, fez uma análise aprofundada das vulnerabilidades do macOS abordadas ao longo de um ano de patches. Na época, o macOS Big Sur era o sistema operacional Mac mais recente.

Long descobriu que, enquanto aproximadamente 48% das mais de 400 vulnerabilidades foram corrigidas para todos os três sistemas operacionais suportados (que na época eram Big Sur, Catalina e Mojave), cerca de 16% foram corrigidos apenas para o atual e o anterior (Big Sur e Catalina), e cerca de 34% foram corrigidos apenas para o macOS atual, Big Sur.

Analisando especificamente as 15 vulnerabilidades “ativamente exploradas” durante esse período, Long descobriu que seis (40%) foram corrigidas para todas as três versões do macOS, quatro (27%) foram corrigidas apenas para Big Sur e Catalina e cinco (33% ) foram corrigidos apenas para o Big Sur, a versão mais recente.

blank
Gráfico de vulnerabilidades exploradas ativamente da era Big Sur. A Apple tem um histórico de deixar as versões suportadas do macOS em perigo devido a vulnerabilidades exploradas ativamente. Crédito: Intego.

 

Então, na verdade, a Apple tem um histórico infeliz de deixar conscientemente versões “suportadas” do macOS desprotegidas de alguns ataques ativamente explorados. Esse tipo de cenário em que um fornecedor opta por não lançar um patch às vezes é chamado de “dia zero perpétuo”.

Esperávamos que a Apple tivesse melhorado para melhor, mas a falta de patches para as vulnerabilidades atualmente exploradas ativamente parecem indicar o contrário.

Perguntas frequentes

P. A Apple confirmou que Big Sur e Catalina são vulneráveis?
R. Não, a Apple não respondeu a nenhuma de nossas perguntas e não esperamos que responda. A Apple geralmente ignora as perguntas da imprensa e dos pesquisadores de segurança.
No entanto, confirmamos que o macOS Big Sur é realmente vulnerável ao CVE-2022-22675 , a vulnerabilidade explorada ativamente no AppleAVD.
Há uma forte probabilidade de que o macOS Big Sur e o macOS Catalina sejam vulneráveis ​​ao CVE-2022-22674 , a vulnerabilidade explorada ativamente no Intel Graphics Driver; a maioria das vulnerabilidades semelhantes encontradas até o momento afetaram todas as versões do macOS.

P. A Apple planeja lançar atualizações para Big Sur e Catalina?
R. A Apple não respondeu às nossas perguntas nem fez qualquer declaração pública sobre isso. Não sabemos se a Apple eventualmente disponibilizará um patch para Big Sur ou Catalina (seja porque a Apple já estava planejando ou devido à pressão pública resultante dessa atenção).

P. Existe alguma indicação de qual agente de ameaças ou grupo APT explorou essas vulnerabilidades? Eles estão relacionados ao conflito Rússia-Ucrânia?
R. A Apple não faz declarações públicas sobre esses detalhes e há pouca informação disponível em outros lugares. No entanto, agora que a Apple lançou patches para Monterey e iOS 15 que podem sofrer engenharia reversa, outros agentes de ameaças podem tentar explorar essas vulnerabilidades. Isso torna ainda mais urgente para a Apple lançar patches para Big Sur e Catalina.

P. Por que mais isso é um problema sério?
R. A Apple está fornecendo uma falsa sensação de segurança ao fornecer atualizações de segurança inconsistentes – e não corrigir todas as vulnerabilidades altamente críticas (ou mesmo a cada zero-day) – para duas versões do macOS amplamente usadas, compreendendo cerca de 35 a 40% de todos os Macs em uso hoje. A Apple nunca reconheceu publicamente que negligencia corrigir todas as vulnerabilidades altamente críticas nas duas versões anteriores do macOS.

P. Qual é o propósito de chamar a atenção para esta questão?
R. Em primeiro lugar, esperamos encorajar a Apple a corrigir as coisas corrigindo as versões “suportadas” do macOS ainda vulneráveis ​​– e continuando a fazê-lo de forma proativa (sem que terceiros como nós precisem denunciá-los) no futuro.
Em segundo lugar, esperamos conscientizar consumidores e profissionais de TIque as práticas atuais da Apple deixam as duas versões anteriores do macOS vulneráveis ​​a sérias falhas de segurança, incluindo aquelas exploradas ativamente na natureza. Os usuários de Mac devem estar cientes de que os patches de segurança da Apple para as duas versões anteriores do macOS são inconsistentes e incompletos e, portanto, geralmente é mais seguro usar a edição principal mais recente do macOS (atualmente Monterey). A Apple deveria, no mínimo, comunicar isso claramente a seus clientes, mas a empresa nunca o fez.

Fonte: Intego

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor