Una soluzione temporanea per la vulnerabilità in ADR

Abbiamo già parlato del cavallo di Troia (e delle sue diverse varianti) che sono state scoperte nell’ultimo week-end: oggi arriva da Macity la notizia che Sophos ha inserito questo trojan nel suo database di malware (denominandolo OSX/Hovdy-A) confermandone così la sua pericolosità.

Oltre all’inevitabile invito alla prudenza (il trojan, per installarsi necessita dell’autorizzazione dell’utente ma in quanto trojan si può presentare sotto le mentite spoglie di un codec o di un gioco), nell’attesa che Apple ponga rimedio alla vulnerabilità scoperta in ADR, esiste una soluzione temporanea al problema, proposta da Tuaw.

Innanzitutto, ricordiamo che il problema nasce dal fatto che qualunque applicazione sfrutti l’ARD-Agent, ne eredita gli stessi privilegi quindi, in questo caso, quelli di root; la prima cosa da fare è dunque di cambiare i privilegi dell’applicazione ARDAgent con un semplice comando da terminale:
sudo chmod -R u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app

Rimane il fatto che questo vada semplicemente a mitigare i danni che il trojan potrebbe compiere: ARDAgent comunque continua a permettere l’exploit, solo che ciò non avviene con privilegi di root; inoltre è fondamentale ricordare che al primo aggiornamento di Mac OS X come anche in caso di riparazione dei privilegi, il fix verrà annullato.

Se non utilizzate il controllo remoto esiste una soluzione ancora più immediata, ovvero la rimozione del pacchetto ARDAgent.app dalla libreria di sistema: bisogna portarsi nella cartella “/Sistema/Libreria/CoreServices/RemoteManagement” e quindi eliminare ARDAgent.app.

Meno drastica è invece la disattivazione del servizio che può essere eseguita in questo modo:

• Leopard: in “Preferenze di sistema” scegliere “Condivisione” (nella sezione Internet e Network) da qui assicurarsi che la casella “Gestione Remota” sia deselezionata (per maggiore sicurezza, nella sezione “Consenti accesso per” selezionare “Solo questi utenti” e lasciare il box con l’elenco vuoto);
• Tiger: in maniera analoga, scegliere “Apple Remote Desktop”, sempre nelle “Preferenze di Sistema” e “Condivisione”, quindi deselezionare tutti i tipi di permessi e scegliere OK.