Gatekeeper de OS X vulnerado de nuevo

Share this…

En octubre pasado el director de investigación de Synack, Patrick Wardle, encontró una forma sencilla de evadir el mecanismo de defensa Gatekeeper de OS X al agrupar una aplicación firmada legítimamente por Apple con una maliciosa no firmada y colocada en el mismo directorio, envolviéndolo todo en un archivo de imagen de disco de Apple.

Hasta que se publique una solución permanente, lo cual requiere un rediseño de OS X, Apple ha bloqueado temporalmente este ataque generando una (breve) lista negra de archivos que, según reportó Wardle, podrían estar reempaquetados para disparar Gatekeeper e introducir malware en los equipos Mac.

Gatekeeper de OS X vulnerado de nuevo

Desafortunadamente, dicha solución no ofrece seguridad a toda prueba, Wardle ha encontrado un nuevo archivo de confianza que no se encuentra en la lista negra y que permitió repetir el ataque.

El archivo en particular, ofrecido por la compañía de seguridad Kaspersky Lab, fue agregado a la lista negra, pero el problema permanece. Gatekeeper permitirá el paso a imágenes de disco de Apple que contienen archivos maliciosos ejecutables si el primer archivo en el paquete no lo es. Cuando una imagen de disco es montada, todos los ejecutables en el paquete serán ejecutables, incluso si son o no maliciosos.

Wardle está listo para compartir más detalles técnicos sobre el ataque en una presentación en Shmoocon esta semana y también presentará una herramienta que puede “genéricamente” frustrar este tipo de ataques.

Como indicó a Ars Technica, la herramienta estimula a Gatekeeper para iniciar la inspección de archivos descargados tan pronto como inicia un nuevo proceso de la computadora, este será detenido si el archivo que inició el proceso no está firmado digitalmente por un desarrollador validado por Apple.

Fuente:https://www.seguridad.unam.mx/