Microsoft ha revelado detalles de una falla de seguridad ahora parcheada en Apple macOS que podría ser explotada por un atacante para sortear las protecciones de seguridad impuestas para evitar la ejecución de aplicaciones maliciosas.
La deficiencia, denominada Achilles (CVE-2022-42821, puntuación CVSS: 5.5), fue abordada por el fabricante del iPhone en macOS Ventura 13, Monterey 12.6.2 y Big Sur 11.7.2, describiéndola como un problema lógico que podría ser armado por una aplicación para eludir los controles de Gatekeeper.
“Las derivaciones de Gatekeeper como esta podrían aprovecharse como un vector para el acceso inicial de malware y otras amenazas y podrían ayudar a aumentar la tasa de éxito de campañas maliciosas y ataques en macOS”, dijo Jonathan Bar Or, del equipo de investigación de Microsoft 365 Defender.
Gatekeeper es un mecanismo de seguridad diseñado para garantizar que solo las aplicaciones de confianza se ejecuten en el sistema operativo. Esto se aplica mediante un atributo extendido llamado “com.apple.quarantine” que se asigna a los archivos descargados de Internet. Es análogo a la bandera Mark of the Web (MotW) en Windows.
Por lo tanto, cuando un usuario desprevenido descarga una aplicación potencialmente dañina que se hace pasar por una pieza de software legítimo, la función Gatekeeper evita que la aplicación se ejecute, ya que Apple no la firma y notariza válidamente.
Incluso en los casos en que una aplicación es aprobada por Apple, a los usuarios se les muestra un mensaje cuando se inicia por primera vez para buscar su consentimiento explícito.
Dado el papel crucial desempeñado por Gatekeeper en macOS, es difícil no imaginar las consecuencias de eludir la barrera de seguridad, lo que podría permitir efectivamente a los actores de amenazas implementar malware en las máquinas.
La vulnerabilidad de Achilles identificada por Microsoft explota un modelo de permisos llamado listas de control de acceso (ACL) para agregar permisos extremadamente restrictivos a un archivo descargado (es decir, “todos niegan escribir, escribir, escribirextattr, writesecurity, chown”), bloqueando así Safari de establecer el atributo de cuarentena extendida.
En un escenario de ataque hipotético, un adversario podría adoptar la técnica para crear una aplicación deshonesta y alojarla en un servidor, que luego podría entregarse a un posible objetivo a través de ingeniería social, anuncios maliciosos o un abrevadero.
El método también elude el modo de bloqueo recientemente introducido de Apple en macOS Ventura, una configuración restrictiva opcional para contrarrestar los exploits de clic cero, lo que requiere que los usuarios apliquen las últimas actualizaciones para mitigar las amenazas.
“Las aplicaciones falsas siguen siendo uno de los principales vectores de entrada en macOS, lo que indica que las técnicas de derivación de Gatekeeper son una capacidad atractiva e incluso necesaria para que los adversarios aprovechen los ataques”, dijo Bar Or.
