Apple corrigió recientemente una vulnerabilidad de seguridad en el sistema operativo macOS que podría ser potencialmente explotada por un actor de amenazas para eludir los "mecanismos de seguridad fundamentales de macOS" y ejecutar código arbitrario.
El investigador de seguridad Patrick Wardle detalló el descubrimiento en una serie de tuits el jueves. Rastreado como CVE-2021-30853 (puntuación CVSS: 5.5), el problema se relaciona con un escenario en el que una aplicación macOS no autorizada puede eludir las comprobaciones de Gatekeeper, que aseguran que solo se puedan ejecutar aplicaciones de confianza y que hayan pasado un proceso automatizado llamado "notarización de aplicaciones".
El fabricante del iPhone, acreditando a Gordon Long de Box por informar la falla, dijo que abordó la debilidad con verificaciones mejoradas como parte de las actualizaciones de macOS 11.6 lanzadas oficialmente el 20 de septiembre de 2021.
Copias de seguridad automáticas de GitHub
"Tales errores a menudo son particularmente impactantes para los usuarios cotidianos de macOS, ya que proporcionan un medio para que los autores de adware y malware eludan los mecanismos de seguridad de macOS, ... mecanismos que de otra manera frustrarían los intentos de infección", dijo Wardle en un escrito técnico de la falla.
Específicamente, el error no solo evita Gatekeeper, sino también los requisitos de cuarentena de archivos y notarización de macOS, lo que permite efectivamente que un archivo PDF aparentemente inocuo comprometa todo el sistema simplemente abriéndolo. Según Wardle, el problema se basa en el hecho de que una aplicación basada en guiones no firmada y no notariada no puede especificar explícitamente un intérprete,lo que resulta en un bypass completo.
Vale la pena señalar que una directiva de intérprete de shebang, por ejemplo, #!/bin/sh o #!/bin/bash, se usa típicamente para analizar e interpretar un programa de shell. Pero en este ataque de caso extremo, un adversario puede crear una aplicación de tal manera que la línea shebang se incorpore sin proporcionar un intérprete (es decir, #!) y aún así obtener el sistema operativo subyacente para iniciar el script sin generar ninguna alerta.
Esto es así porque "macOS (re)intentará ejecutar la fallida [aplicación basada en scripts 'sin intérprete'] a través del shell ('/bin/sh')" después de la falta de éxito inicial, explicó Wardle.
Evite las violaciones de datos
En otras palabras, los actores de amenazas pueden explotar esta falla engañando a sus objetivos para que abran una aplicación fraudulenta que puede camuflarse como actualizaciones de Adobe Flash Player o versiones troyanizadas de aplicaciones legítimas como Microsoft Office, que, a su vez, se puede entregar a través de un método llamado envenenamiento de búsqueda donde los atacantes aumentan artificialmente la clasificación de los sitios web que alojan su malware en los motores de búsqueda para atraer a víctimas potenciales.
Esta no es la primera vez que se descubren fallas en el proceso de Gatekeeper. A principios de abril, Apple se movió para parchear rápidamente una falla de día cero explotada activamente(CVE-2021-30657)que podría eludir todas las protecciones de seguridad, permitiendo así que el software no aprobado se ejecute en Macs.
Luego, en octubre, Microsoft reveló una vulnerabilidad denominada "Shrootless"(CVE-2021-30892),que podría aprovecharse para realizar operaciones arbitrarias, elevar los privilegios a la raíz e instalar rootkits en dispositivos comprometidos. Apple dijo que solucionó el problema con restricciones adicionales como parte de las actualizaciones de seguridad publicadas el 26 de octubre de 2021.
%2014.04.55.png)
