Vincenzo Iozzo, un ricercatore italiano che si occupa di sicurezza informatica, avrebbe scoperto un metodo per iniettare codice ostile direttamente nella memoria di computer con Mac OS X, sfruttando una tecnica difficilmente identificabile usando gli odierni procedimenti d’analisi.
Il sistema sarà svelato durante la Black Hat security conference, convegno che si svolgerà a Washington il prossimo mese e sembra consenta di eseguire attacchi finora impossibili da portare a termine. L’approccio sfrutta qualche meccanismo in grado di iniettare codice direttamente nella RAM e avviare software all’insaputa dell’utente, senza lasciare traccia o elementi che permettano di comprendere che la macchina-target è stata compromessa.
Tecniche simili sono in circolazione da un paio di anni e utilizzate per infettare macchine con Windows e Linux ma finora i ricercatori non erano riusciti a trovare un metodo efficace per attaccare anche Mac OS X. La tecnica, se realmente valida, potrebbe essere dunque utilizzata da malintenzionati e sviluppatori di malware per scrivere codice in grado di causare danni più o meno gravi sul computer sul quale il codice è eseguito.
Charles Miller, un altro ricercatore che ha esaminato il lavoro di Iozzo, ha affermato che il sistema rende non facile l’identificazione e che una simile tecnica potrebbe essere sfruttata anche per installare applicazioni sull’iPhone, all’insaputa dell’utente.
La tecnica individuata dall’italiano è complessa e consiste nell’eseguire codice binario scrivendo all’interno di un’applicazione o processo sotto tiro. L’attacco è efficace poiché il sistema non attiva un nuovo processo e non ha neanche bisogno di accedere al disco rigido (attività che – tipicamente – permettono di individuare questo tipo di attacchi).
Dal punto di vista tecnico, l’exploit (la tecnica che sfrutta la vulnerabilità ) è stata modellata monitorando il formato eseguibile del Mac, conosciuto come “Mach-O”. Imitando il sistema con cui Mac OS X dispone il codice in memoria, è possibile bypassare le tradizionali tecniche che permettono di caricare codice binario nel sistema operativo e scrivere su zone di memoria appartenenti al kernel. Iozzo afferma che il layer di randomizzazione di Mac OS X, progettato per ostacolare questi attacchi, può essere eluso ppoiché il dynamic linker è memorizzato sempre allo stesso indirizzo.
Da rilevare che, ad ogni modo, affinché l’attacco sia realmente efficace è necessario sfruttare vulnerabilità pre-esistenti di sistema o di applicazioni quali iTunes, Safari o altre; quanto scoperto non rende il Mac più facile da attaccare, ma rende l’eventuale attacco più semplice da portare a termine se si lasciano scoperte (senza patch) eventuali applicazioni o componenti di sistema di cui sono note le vulnerabilità . L’attacco, in sostanza, non può essere eseguito, se l’utente non ha prima avviato un’applicazione vulnerabile: un motivo in più per tenere sempre aggiornati sistema e applicazioni scaricando patch e update di sicurezza.
[A cura di Mauro Notarianni]
