Especialistas en auditorías informáticas de la firma de seguridad Intego han reportado presuntos casos de explotación en escenarios reales de una vulnerabilidad sin corregir en algunas de las características de seguridad de MacOS Gatekeeper de Apple; existe una prueba de concepto de esta explotación publicada en línea.
Hace algunos días, los expertos descubrieron al menos cuatro muestras diferentes de este malware para macOS en la plataforma especializada VirusTotal. Estas variantes de malware explotan una vulnerabilidad de evasión para ejecutar código malicioso en macOS sin necesidad de que el usuario apruebe la acción a través de un cuadro de diálogo.
La versión más reciente del malware, conocida como OSX/Linker, no ha sido detectada en entornos reales aún, por lo que los especialistas en auditorías informáticas consideran que aún está en una etapa de desarrollo. A pesar de que todas las variantes de malware explotan la vulnerabilidad en Gatekeeper, no se ha detectado la descarga de alguna aplicación maliciosa desde el servidor de los actores de amenazas.
Gatekeeper es una función de seguridad integrada en Apple macOS que verifica las firmas digitales y las aplicaciones descargadas antes de aprobar su ejecución, funcionando como una capa de seguridad adicional contra el malware. Si alguien llega a descargar una aplicación de alguna página de Internet, Gatekeeper permitirá o impedirá su ejecución dependiendo de si encuentra un certificado válido aprobado por Apple, en caso contrario, solicitará al usuario su aprobación para ejecutar la aplicación.
Sin embargo, Gatekeeper fue diseñado para tratar unidades de almacenamiento externo (como USB o HDD), además de los recursos compartidos de red, como ubicaciones seguras. Acorde a los expertos, desde estas ubicaciones seguras un usuario puede ejecutar cualquier aplicación sin requerir permisos posteriores o alertas de Gatekeeper.
A finales del mes pasado un especialista en auditorías informáticas reveló un método para explotar esta conducta del sistema operativo que involucra otras dos características legítimas de macOS: los archivos zip y la función automount. El experto creó un archivo zip con un enlace simbólico a un recurso compartido de red controlado por un atacante que macOS montará automáticamente.
Cuando la víctima abre el zip y sigue el enlace, se dirigirá a la red compartida bajo control del hacker y ejecutará archivos maliciosos sin que el sistema solicite la autorización de la víctima. El experto notificó a la compañía en febrero pasado y, ya que han pasado más de 90 días y la falla no ha sido corregida, decidió revelar la vulnerabilidad.
Expertos del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan bloquear las comunicaciones NFS como medida preventiva mientras Apple lanza un parche de actualización.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
