Apple consente ad un po 'di traffico di rete di Big Sur di aggirare i firewall

0
5

Patrick Wardle

I firewall non sono solo per le reti aziendali. Un gran numero di persone attente alla sicurezza o alla privacy li usano anche per filtrare o reindirizzare il traffico in entrata e in uscita dai loro computer. Apple ha recentemente apportato una modifica importante a macOS che vanifica questi sforzi.

A partire da macOS Catalina rilasciato lo scorso anno, Apple ha aggiunto un elenco di 50 app e processi specifici per Apple che dovevano essere esentati da firewall come Little Snitch e Lulu. L'esenzione priva di documenti, che non ha avuto effetto fino a quando i firewall non sono stati riscritti per implementare le modifiche a Big Sur, è venuta alla luce per la prima volta in ottobre. Patrick Wardle, un ricercatore di sicurezza presso Jamf, sviluppatore aziendale iOS e Mac, ha ulteriormente documentato il nuovo comportamento durante il fine settimana.

A Big Sur, Apple ha deciso di esentare molte delle sue app dall'instradamento attraverso i framework che ora richiedono l'utilizzo di firewall di terze parti (LuLu, Little Snitch, ecc.) 🧐

D: Potrebbe essere (ab) utilizzato dal malware per aggirare anche tali firewall? 🤔

A: Apparentemente sì, e banalmente così 😬😱😭 pic.twitter.com/CCNcnGPFIB

– patrick wardle (@patrickwardle) 14 novembre 2020

"100% cieco"

Per dimostrare i rischi che derivano da questa mossa, Wardle, un ex hacker della NSA, ha dimostrato come gli sviluppatori di malware potrebbero sfruttare il cambiamento per fare un end-run attorno a una misura di sicurezza collaudata. Ha impostato Lulu e Little Snitch per bloccare tutto il traffico in uscita su un Mac con Big Sur e quindi ha eseguito un piccolo script di programmazione in cui il codice di exploit interagiva con una delle app esentate da Apple. Lo script Python non ha avuto problemi a raggiungere un server di comando e controllo che ha impostato per simulare uno comunemente usato dal malware per esfiltrare dati sensibili.

"Ha gentilmente chiesto (costretto?) A uno degli elementi affidabili di Apple di generare traffico di rete verso un server controllato da un utente malintenzionato e potrebbe (ab) usarlo per esfiltrare i file", mi ha detto Wardle, riferendosi allo script. "Fondamentalmente, 'Ehi, signor Apple Item, puoi inviare questo file al server remoto di Patrick?' E sarebbe gentilmente d'accordo. E poiché il traffico proveniva dall'elemento attendibile, non sarebbe mai stato instradato attraverso il firewall … il che significa che il firewall è cieco al 100% ".

Annuncio pubblicitario

Wardle ha twittato una parte di una segnalazione di bug che ha inviato ad Apple durante la fase beta di Big Sur. In particolare, avverte che "gli strumenti di sicurezza essenziali come i firewall sono inefficaci" in base alla modifica.

Apple deve ancora spiegare il motivo del cambiamento. Le configurazioni errate del firewall sono spesso la fonte del software che non funziona correttamente. Una possibilità è che Apple abbia implementato la mossa per ridurre il numero di richieste di supporto che riceve e migliorare l'esperienza del Mac per le persone non istruite nella creazione di regole firewall efficaci. Non è insolito che i firewall esentino il proprio traffico. Apple potrebbe applicare la stessa logica.

Ma l'incapacità di sovrascrivere le impostazioni viola un principio fondamentale secondo cui le persone dovrebbero essere in grado di limitare selettivamente il traffico che scorre dai propri computer. Nel caso in cui un Mac venga infettato, la modifica offre anche agli hacker un modo per aggirare quella che per molti è una mitigazione efficace contro tali attacchi.

"Il problema che vedo è che apre la porta a fare esattamente ciò che Patrick ha dimostrato … gli autori di malware possono usarlo per intrufolarsi nei dati intorno a un firewall", ha detto Thomas Reed, direttore delle offerte per Mac e dispositivi mobili presso la società di sicurezza Malwarebytes. "Inoltre, c'è sempre la possibilità che qualcuno possa avere un legittimo bisogno di bloccare parte del traffico Apple per qualche motivo, ma questo toglie quella capacità senza utilizzare un qualche tipo di filtro di rete hardware al di fuori del Mac."

Le persone che vogliono sapere quali app e processi sono esenti possono aprire il terminale macOS e inserire i valori predefiniti di sudo leggendo /System/Library/Frameworks/NetworkExtension.framework/Resources/Info.plist ContentFilterExclusionList.

NKEs

Il cambiamento è arrivato quando Apple ha ritirato le estensioni del kernel macOS, che gli sviluppatori di software hanno utilizzato per far interagire le app direttamente con il sistema operativo. La deprecazione includeva NKE, abbreviazione di estensioni del kernel di rete, che i prodotti firewall di terze parti utilizzavano per monitorare il traffico in entrata e in uscita.

Al posto degli NKE, Apple ha introdotto un nuovo framework in modalità utente chiamato Network Extension Framework. Per funzionare su Big Sur, tutti i firewall di terze parti che utilizzavano NKE dovevano essere riscritti per utilizzare il nuovo framework.

I rappresentanti Apple non hanno risposto alle domande inviate tramite email su questa modifica. Questo post verrà aggiornato se rispondono in seguito. Nel frattempo, le persone che vogliono ignorare questa nuova esenzione dovranno trovare alternative. Come notato sopra Reed, un'opzione è fare affidamento su un filtro di rete che viene eseguito dall'esterno del proprio Mac. Un'altra possibilità è affidarsi a PF, o firewall Packet Filter integrato in macOS.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui