Nueva vulnerabilidad de macOS permite acceso no autorizado a datos

Microsoft Threat Intelligence reveló el jueves que descubrieron una vulnerabilidad en macOS que podría permitir a los atacantes eludir la tecnología de Transparencia, Consentimiento y Control (TCC) del sistema operativo y obtener acceso no autorizado a los datos sensibles de un usuario.

Esta vulnerabilidad de macOS fue identificada como CVE-2024-44133 y se le dio el nombre de “HM Surf”. Para aquellos que no lo saben, TCC es una tecnología que impide que las aplicaciones accedan a la información personal del usuario, incluidos los servicios de ubicación, cámara, micrófono, directorio de descargas y otros, sin su consentimiento y conocimiento previo.

Sin embargo, la vulnerabilidad HM Surf implica eliminar la protección TCC para el directorio del navegador Safari y modificar un archivo de configuración en dicho directorio.

Esto podría permitir a los actores de amenazas obtener acceso no autorizado a datos sensibles del usuario, incluida la historia de navegación, la cámara del dispositivo, el micrófono e incluso información de ubicación, sin el consentimiento del usuario.

Según el informe de Microsoft Threat Intelligence, la elusión depende de archivos sensibles en el directorio ~/Library/Safari.

El actor de amenazas podría superar los controles de seguridad modificando los archivos sensibles bajo el directorio real del hogar del usuario (como /Users/$USER/Library/Safari/PerSitePreferences.db) y explotar los derechos y TCC de Safari.

“Leer archivos arbitrarios del directorio permite a los atacantes recopilar información extremadamente útil (como la historia de navegación del usuario)”, afirmó el informe, añadiendo: “Escribir en el directorio permite eludir TCC, por ejemplo, sobrescribiendo el PerSitePreferences.db.”

El gigante de Redmond también señaló que las protecciones de monitoreo de comportamiento en Microsoft Defender for Endpoint habían observado actividad sospechosa asociada con un adware conocido de macOS, Adload, una familia de amenazas de macOS prevalente, que podría estar explotando esta vulnerabilidad.

“Microsoft Defender for Endpoint detecta y bloquea la explotación de CVE-2024-44133, incluida la modificación anómala del archivo de preferencias a través de HM Surf u otros métodos”, añadió el informe.

Microsoft compartió sus hallazgos con Apple a través de la Divulgación Coordinada de Vulnerabilidades (CVD) a través de la Investigación de Vulnerabilidades de Seguridad de Microsoft (MSVR), que fue corregida por Apple como parte de sus últimas actualizaciones de seguridad para macOS Sequoia el 16 de septiembre de 2024.

Actualmente, solo el navegador Safari de Apple utiliza las nuevas protecciones otorgadas por TCC. Microsoft está trabajando con otros importantes proveedores de navegadores, incluidos Google y Mozilla, para investigar más a fondo los beneficios de endurecer los archivos de configuración locales.

La compañía insta encarecidamente a los usuarios de macOS a aplicar las últimas actualizaciones de seguridad de Apple lo antes posible para protegerse contra esta vulnerabilidad.

“Microsoft continúa monitoreando el panorama de amenazas para descubrir nuevas vulnerabilidades y técnicas de ataque que podrían afectar a macOS y otros dispositivos que no son Windows. A medida que las amenazas multiplataforma continúan aumentando, una respuesta coordinada a los descubrimientos de vulnerabilidades y otras formas de intercambio de inteligencia sobre amenazas ayudará a enriquecer las tecnologías de protección que aseguran la experiencia informática de los usuarios, independientemente de la plataforma o dispositivo que estén utilizando”, concluyó el informe.