A SecureMac identificou nesta semana um novo cavalo-de-tróia direcionado para usuários do Mac OS X: AppleScript.THT. O malware explora uma vulnerabilidade no Apple Remote Desktop Agent, permitindo que “um usuário malicioso tome acesso total ao sistema”.
A distribuição do trojan-horse é feita via um AppleScript compilado de nome ASthtv05 ou via um aplicativo chamado AStht_v06. O tamanho deles são de, respectivamente, 60KB e 3.1MB.
Mais uma vez, é necessária ação do usuário para que os scripts sejam executados e implementados no Mac. Após isto, o trojan instala-se na pasta /Library/Caches e define para que seja executado automaticamente na inicialização da máquina.
Fique alerta, portanto, ao baixar arquivos ou aplicativos AppleScript enviados para você por email, via iChat, baixados em sites na internet ou, principalmente, em redes P2P, como o LimeWire. A SecureMac e a Intego já atualizaram os softwares MacScan 2.5.2 e Intego VirusBarrier X5, ambos com proteções para a brecha.
[Dica do Eduardo Medeiros, obrigado!]
Paulo Montenegro
21/06/2008 às 11:59
ok ok…. WTF? agora vamos ter que usar anti-virus no mac? ¬¬
Usando oRoger
21/06/2008 às 12:21
Não, basta você não usar o seu usuário como administrador, e não autorizar a instalação de programas estranhos. Por enquanto, no Mac, todos os “vírus” que apareceram necessitavam ser baixados pelo usuário, instalados com a autorização de sua senha de administrador. Nunca ninguém foi afetado por qualquer vírus destes, e muitos deles são apenas conceituais. Se você fizer a lição de casa direitinho, pode descansar que ninguém vai entrar em seu computador sem ser chamado.
Usando oRoger
21/06/2008 às 12:23
Ah, e logo, logo, a Apple fecha essa brecha com algum Security Update, ok? Até só tome algum cuidado, nada desesperador como acontece com o Windows.
Usando oRoberto Lima
21/06/2008 às 12:32
Nao tem nem comparacao com o Windows.
Usando oOnil
21/06/2008 às 12:56
ou seja, so é afectado qem disser “sim, pode instalar”. certo ?
Usando oRoberto Lima
21/06/2008 às 13:31
@Onil, exato.
Usando oDouglas Carvalho
21/06/2008 às 14:30
Bom, assim fico mais aliviado, ufa!
Usando oLeno
21/06/2008 às 15:33
Não, basta você não usar o seu usuário como administrador, e não autorizar a instalação de programas estranhos. Por enquanto, no Mac, todos os “vírus” que apareceram necessitavam ser baixados pelo usuário, instalados com a autorização de sua senha de administrador. Nunca ninguém foi afetado por qualquer vírus destes, e muitos deles são apenas conceituais. Se você fizer a lição de casa direitinho, pode descansar que ninguém vai entrar em seu computador sem ser chamado.²
Flow tudo.
Usando oliquuid
21/06/2008 às 20:32
Ok, não é o fim do mundo, mas não da pra vacilar ! Qualquer zé ruela com acesso local ao seu mac pode ganhar privilégios de ROOT com apenas 1 comando.
Considero essa falha gravissíma pois NÃO É necessário que o usuário forneça senha de administrador ! Tudo que um trojan desse tipo precisa pra se instalar é RODAR na máquina. Uma vez executado ele se instala onde um usuário sem privilégios jamais teria acesso sem fornecer sua senha (caso esteja no grupo admin)
Essa falha de segurança não é como as outras onde a componente principal era a ingenuidade do usuário administrador. Nesse caso, o simples ato de executar um aplicativo, não importa a casta do user, compromete TODA a máquina e não apenas o usuário vacilão.
Usando oFernando Henrique
25/06/2008 às 01:26
Para resolver o problema de verdade só tem um jeito, sumir com o ARD do seu sistema, seja deletando , escondendo ou retirando o SUID root do executavel , com o comando no terminal :
sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
Esse comando retira os superpoderes do programa ARD, e provavelmente ele não vai funcionar direto :-\
E o pior, provavelmente o sistema voltará a ser vulnerável se o usuário reparar as permissões !!!!
Usando oBandeira
25/06/2008 às 15:45
Oh My Good, falha gravissima da poderes de sudo para user comum.
Olha ae que fiz para provar. E se no lugar do Apple Brasil eu colocar rm -rf / dentro de algo que da boot? Creu Sistema. Com a dica do Liquuid isso não acontece.
MacBook:~ cabral$ cat /etc/resolv.conf
nameserver 127.0.0.1
nameserver 208.67.222.222
nameserver 208.67.220.220
nameserver 192.168.1.1
nameserver 0.0.0.0
MacBook:~ cabral$ echo Apple Brasil >> /etc/resolv.conf
-bash: /etc/resolv.conf: Permission denied
MacBook:~ cabral$ osascript -e ‘tell app “ARDAgent” to do shell script “echo Apple Brasil > /etc/resolv.conf”‘
MacBook:~ cabral$ cat /etc/resolv.conf
Usando oApple Brasil
Bandeira
25/06/2008 às 15:52
Com a dica fica assim:
MacBook:~ cabral$ osascript -e ‘tell app “ARDAgent” to do shell script “echo Apple Brasil > /etc/resolv.conf”‘
Usando o23:77: execution error: ARDAgent got an error: sh: /etc/resolv.conf: Permission denied (1)