Los piratas informáticos aprovechan la falla de Gatekeeper de día 0 para atacar las computadoras macOS

La seguridad es tan fuerte como el eslabón más débil. Como prueba adicional de esto, Apple lanzó una actualización de los sistemas operativos macOS para abordar una vulnerabilidad de día cero explotada activamente que podría eludir todas las protecciones de seguridad, permitiendo así que se ejecute software no aprobado en Mac.

La falla de macOS, identificada como CVE-2021-30657, fue descubierta e informada a Apple por el ingeniero de seguridad Cedric Owens el 25 de marzo de 2021.

«Una aplicación de prueba de concepto sin firmar, sin notarizar y basada en un guión […] podría eludir de manera trivial y confiable todos los mecanismos de seguridad relevantes de macOS (Cuarentena de archivos, Gatekeeper y requisitos de notarización), incluso en un sistema macOS M1 completamente parcheado «, explicó el investigador de seguridad Patrick Wardle en un artículo». Armado con tal capacidad macOS los autores de malware podrían (y están) volviendo a sus métodos comprobados de atacar e infectar a los usuarios de macOS».

El macOS de Apple viene con una función llamada Gatekeeper, que permite que solo se ejecuten aplicaciones confiables asegurándose de que el software haya sido firmado por la App Store o por un desarrollador registrado y haya aprobado un proceso automatizado llamado «certificación notarial de la aplicación» que escanea el software en busca de contenido malicioso.

Pero la nueva falla descubierta por Owens podría permitir que un adversario elabore una aplicación maliciosa de una manera que engañaría al servicio Gatekeeper y se ejecutaría sin activar ninguna advertencia de seguridad. El truco consiste en empaquetar un script de shell malicioso como una «aplicación en la que se puede hacer doble clic» para que se pueda hacer doble clic en el malware y ejecutarlo como una aplicación.

«Es una aplicación en el sentido de que puede hacer doble clic en ella y macOS la ve como una aplicación cuando hace clic con el botón derecho -> Obtener información sobre la carga útil», dijo Owens. «Sin embargo, también es un script de shell en el sentido de que Gatekeeper no verifica los scripts de shell, incluso si el atributo de cuarentena está presente».

Según la firma de seguridad de macOS Jamf, el actor de amenazas detrás del malware Shlayer ha estado abusando de esta vulnerabilidad de omisión de Gatekeeper desde el 9 de enero de 2021. Distribuido a través de una técnica llamada envenenamiento de motores de búsqueda o spamdexing, Shlayer representa casi el 30% de todas las detecciones en el plataforma macOS, uno de cada diez sistemas encuentra el adware al menos una vez, según las estadísticas de Kaspersky para 2019.

El ataque funciona mediante la manipulación de los resultados del motor de búsqueda para mostrar enlaces maliciosos que, cuando se hace clic, redirige a los usuarios a una página web que solicita a los usuarios que descarguen una actualización de la aplicación aparentemente benigna para el software desactualizado, que en esta campaña es un script bash. diseñado para recuperar las cargas útiles de la próxima etapa, incluido el adware Bundlore de forma sigilosa. De manera preocupante, este esquema de infección podría aprovecharse para generar amenazas más avanzadas, como software de vigilancia y ransomware.

Además de la vulnerabilidad antes mencionada, las actualizaciones del lunes también abordan una falla crítica en WebKit Storage (rastreada como CVE-2021-30661) que se refiere a una falla de ejecución de código arbitrario en iOS, macOS, tvOS y watchOS cuando se procesa contenido web creado con fines malintencionados.

«Apple está al tanto de un informe de que este problema puede haber sido explotado activamente», dijo la compañía en un documento de seguridad, y agregó que abordó la debilidad del uso después de la liberación con una mejor gestión de la memoria.

Además de estas actualizaciones, Apple también lanzó iCloud para Windows 12.3 con parches para cuatro problemas de seguridad en WebKit y WebRTC, entre otros, que podrían permitir a un atacante realizar ataques de secuencias de comandos entre sitios (XSS) (CVE-2021-1825) y corromper memoria del núcleo (CVE-2020-7463).

Se recomienda a los usuarios de dispositivos Apple que actualicen a las últimas versiones para mitigar el riesgo asociado con las fallas.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática