CVE-2021-1810: Vulnerabilidad en macOS permite evadir función Gatekeeper. Prueba de concepto disponible

El investigador de seguridad Rasmus Sten publicó un código de prueba de concepto (PoC) para abusar de una vulnerabilidad en macOS Gatekeeper actualizada hace unos meses por Apple. Identificada como CVE-2021-1810, la falla permitiría la evasión de tres mecanismos de seguridad implementados por la compañía con el fin de evitar la descarga de archivos maliciosos.

La vulnerabilidad reside en macOS Big Sur y Catalina, y puede ser explotada por actores de amenazas mediante un archivo especialmente diseñado. La explotación exitosa permitiría ejecutar binarios sin firmar en dispositivos macOS, incluso con Gatekeeper, aplicando firmas de código y sin que el usuario pueda notar la actividad maliciosa.

El investigador menciona que la falla existe debido a la forma que Archive Utility administra las rutas de archivo; para rutas con más de 886 caracteres, el atributo extendido com.apple.quarantine ya no se aplicaría, resultando en la evasión de Gatekeeper para los archivos ingresados al sistema.

Sten descubrió que algunos componentes de macOS se comportan inesperadamente cuando la longitud total de la ruta alcanzaba un cierto límite. Eventualmente el investigador descubrió que era posible crear un archivo con ruta lo suficientemente larga para que Safari llamara a Archive Utility para su descompresión y lo suficientemente corta para navegar usando Finder y macOS pudiera ejecutar el código en el archivo.

El código PoC publicado por Sten, quien también publicó un video de demostración, crea el archivo con la longitud de ruta necesaria para la explotación de CVE-2021-1810, junto con un enlace simbólico para que el archivo ZIP malicioso tenga una apariencia normal.

Esta falla fue abordada en el lanzamiento de macOS Big Sur 11.3 y en Security Update 2021-002 para macOS Catalina, por lo que se recomienda a los usuarios de implementaciones afectadas verificar que su equipo ejecute la versión segura del sistema.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).