Microsoft Encuentra un Error en macOS Que Elude la Seguridad

Apple recientemente corrigió una vulnerabilidad en el sistema operativo macOS que podría ser potencialmente explotada por un actor de amenazas para eludir el mecanismo de seguridad Gatekeeper de Apple y desplegar malware en dispositivos macOS vulnerables.

Jonathan Bar Or, Investigador Principal de Seguridad de Microsoft, detalló Gatekeeper, la vulnerabilidad capaz de eludirlo y los efectos del fallo en una publicación de blog de seguridad publicada el lunes.

La investigación fue compartida por Microsoft para enfatizar la importancia de la colaboración entre investigadores y la comunidad de seguridad para mejorar las defensas del ecosistema más amplio.

Rastreada como CVE-2022-42821 (denominada Achilles), la vulnerabilidad está relacionada con un escenario donde los atacantes pueden eludir las restricciones de ejecución de aplicaciones impuestas por los chequeos de seguridad Gatekeeper de Apple, que están diseñados para asegurar que solo se ejecute software de confianza en dispositivos Mac.

Microsoft compartió la vulnerabilidad con Apple en julio de 2022 a través de la Divulgación Coordinada de Vulnerabilidades (CVD) mediante la Investigación de Vulnerabilidades de Seguridad de Microsoft (MSVR).

El fabricante del iPhone abordó la vulnerabilidad Achilles enviando una actualización en macOS 13 (Ventura), macOS 12.6.2 (Monterey) y macOS 1.7.2 (Big Sur) el 13 de diciembre de 2022.

“Las elusiones de Gatekeeper como esta podrían ser aprovechadas como un vector para el acceso inicial por malware y otras amenazas y podrían ayudar a aumentar la tasa de éxito de campañas maliciosas y ataques en macOS,” escribió Jonathan en la publicación del blog.

Elusión de ACLs Restrictivas de Gatekeeper

Gatekeeper es una característica de seguridad de macOS, que aplica la firma de código y verifica las aplicaciones descargadas antes de permitir que se ejecuten, reduciendo así la probabilidad de ejecutar malware inadvertidamente.

Al descargar aplicaciones desde un navegador, como Safari, el navegador asigna un atributo extendido especial llamado com.apple.quarantine al archivo descargado. Esto se utiliza posteriormente para hacer cumplir políticas como Gatekeeper.

El diseño actual de Gatekeeper dicta el siguiente comportamiento para las aplicaciones descargadas:

2. Si la aplicación está firmada y notariada válidamente, lo que significa que fue aprobada por Apple, entonces se requiere el consentimiento del usuario antes de que se inicie.

3. De lo contrario, se informa al usuario que la aplicación no puede ejecutarse ya que no es de confianza.

“Debido a su papel esencial en la detención del malware en macOS, Gatekeeper es una característica de seguridad útil y efectiva,” añade Jonathan.

“Sin embargo, considerando que ha habido numerosas técnicas de elusión que apuntan a la característica de seguridad en el pasado, Gatekeeper no es a prueba de balas. Obtener la capacidad de eludir Gatekeeper tiene graves implicaciones ya que a veces los autores de malware aprovechan esas técnicas para el acceso inicial .”

Para demostrar la vulnerabilidad Achilles, Microsoft desarrolló una prueba de concepto (POC) que examinó archivos AppleDouble que malutilizaban ACLs.

Para aquellos que no lo saben, AppleDouble es un formato de archivo que guarda los metadatos en un archivo diferente al lado del archivo original, con un prefijo “._”.

La compañía decidió agregar ACLs muy restrictivas a los archivos descargados, lo que prohibió a Safari (o cualquier otro programa) establecer nuevos atributos extendidos, incluido el atributo com.apple.quarantine.

Para llevar a cabo la POC, Microsoft creó una estructura de directorio falsa con un ícono y carga útil arbitrarios.

El gigante de Redmond luego creó un archivo AppleDouble con la clave de atributo extendido com.apple.ac.text y un valor que representaba una ACL restrictiva seleccionando el equivalente de “ everyone deny write,writeattr,writeextattr,writesecurity,chown ”. Realice el parcheo correcto de AppleDouble si utiliza ditto para generar el archivo AppleDouble.

Por último, creó una carga útil maliciosa archivada dentro de la aplicación maliciosa junto con su archivo AppleDouble y lo alojó en un servidor web.

Como resultado, la aplicación maliciosa en lugar de ser bloqueada por Gatekeeper, permitió a los atacantes descargar y desplegar malware.

“El Modo de Bloqueo de Apple, introducido en macOS Ventura como una característica de protección opcional para usuarios de alto riesgo que podrían ser objeto de un ciberataque sofisticado, está destinado a detener exploits de ejecución remota de código sin clic, y por lo tanto no defiende contra Achilles,” dijo el equipo de Inteligencia de Amenazas de Seguridad de Microsoft el lunes.

“Los usuarios finales deben aplicar la solución independientemente de su estado de Modo de Bloqueo.”