Apple solucionó una vulnerabilidad que los atacantes podrían aprovechar para implementar malware en dispositivos macOS vulnerables a través de aplicaciones no confiables capaces de eludir las restricciones de ejecución de la aplicación Gatekeeper.
Encontrada e informada por el principal investigador de seguridad de Microsoft, Jonathan Bar Or, la falla de seguridad (llamada Achilles) ahora se rastrea como CVE-2022-42821.
Apple solucionó el error en macOS 13 (Ventura), macOS 12.6.2 (Monterey) y macOS 1.7.2 (Big Sur) hace una semana, el 13 de diciembre.
Omisión del gatekeeper a través de ACL restrictivas
Gatekeeper es una característica de seguridad de macOS que verifica automáticamente todas las aplicaciones descargadas de Internet si están certificadas por un notario y firmadas por un desarrollador (aprobadas por Apple), solicitando al usuario que confirme antes de iniciar o emitiendo una alerta de que no se puede confiar en la aplicación.
Esto se logra al verificar un atributo extendido llamado com.apple.quarantine que los navegadores web asignan a todos los archivos descargados, similar a Mark of the Web en Windows.
La falla de Achilles permite que las cargas útiles especialmente diseñadas abusen de un problema de lógica para establecer permisos restrictivos de la Lista de control de acceso (ACL) que impiden que los navegadores web y los descargadores de Internet configuren el atributo com.apple.quarantine para descargar la carga útil archivada como archivos ZIP.
Como resultado, la aplicación maliciosa contenida dentro de una carga útil archivada se inicia en el sistema del objetivo en lugar de ser bloqueada por Gatekeeper, lo que permite a los atacantes descargar e implementar malware.
Microsoft dijo el lunes que “el modo de bloqueo de Apple, introducido en macOS Ventura como una función de protección opcional para usuarios de alto riesgo que podrían ser atacados personalmente por un ciberataque sofisticado, tiene como objetivo detener las vulnerabilidades de ejecución remota de código sin hacer clic y, por lo tanto, no defenderse de Aquiles”.
“Los usuarios finales deben aplicar la solución independientemente de su estado de modo de bloqueo”, agregó el equipo de inteligencia de amenazas de seguridad de Microsoft.
Más omisiones de seguridad y malware de macOS
Este es solo uno de los múltiples desvíos de Gatekeeper encontrados en los últimos años, muchos de los cuales fueron abusados por los atacantes para eludir los mecanismos de seguridad de macOS como Gatekeeper, File Quarantine y System Integrity Protection (SIP) en Mac con parches completos.
Por ejemplo, Bar Or informó una falla de seguridad denominada Shrootless en 2021 que puede permitir a los actores de amenazas eludir la Protección de integridad del sistema (SIP) para realizar operaciones arbitrarias en la Mac comprometida, elevar los privilegios a la raíz e incluso instalar rootkits en dispositivos vulnerables.
El investigador también descubrió powerdir, un error que permite a los atacantes eludir la tecnología de Transparencia, Consentimiento y Control (TCC) para acceder a los datos protegidos de los usuarios.
También lanzó un código de explotación para una vulnerabilidad de macOS (CVE-2022-26706) que podría ayudar a los atacantes a eludir las restricciones de sandbox para ejecutar código en el sistema.
Por último, pero no menos importante, Apple arregló una vulnerabilidad de macOS de día cero en abril de 2021 que permitió a los actores de amenazas detrás del notorio malware Shlayer eludir los controles de seguridad de Cuarentena de archivos, Gatekeeper y Notarización de Apple y descargar más malware en las Mac infectadas.
Los creadores de Shlayer también lograron obtener sus cargas útiles a través del proceso de notarización automatizado de Apple y utilizaron una técnica antigua para aumentar los privilegios y deshabilitar el Gatekeeper de macOS para ejecutar cargas útiles sin firmar.
Fuente: Bleeping Computer
