Una cadena de fallos de seguridad permitía a los atacantes acceder a fotos de iCloud sin la interacción del usuario.
Investigadores en ciberseguridad han revelado una cadena de vulnerabilidades que permitía comprometer los sistemas macOS a través de su aplicación Calendar, sin necesidad de interacción por parte del usuario. Este ataque, que involucraba la ejecución remota de código (RCE), afectaba a la seguridad de los usuarios de iCloud, exponiendo datos sensibles como fotos almacenadas en la nube.
El fallo crítico, identificado como CVE-2022-46723, recibía una calificación de 9.8 sobre 10 en la escala CVSS debido a su facilidad de explotación y gravedad. Los cibercriminales podían enviar invitaciones de calendario con archivos adjuntos maliciosos, que el sistema no validaba correctamente. Esto les permitía manipular el nombre del archivo para eliminar archivos legítimos del sistema o escapar del sandbox de la aplicación Calendar.
El investigador Mikko Kenttälä descubrió que los atacantes podían aprovechar esta vulnerabilidad para ejecutar archivos adicionales durante una migración del sistema, desencadenada por la actualización de macOS Ventura. Entre los fallos explotados, se encontraba un bypass de Gatekeeper (CVE-2023-40344) y una modificación de las configuraciones de iCloud Photos (CVE-2023-40434), que facilitaba el robo de fotos sin activar las defensas de TCC (Transparency, Consent, and Control).
Apple lanzó parches para corregir estas vulnerabilidades en una serie de actualizaciones entre octubre de 2022 y septiembre de 2023, resaltando la importancia de mantener los sistemas siempre actualizados frente a amenazas avanzadas. Esta cadena de ataques zero-click demuestra cómo incluso sistemas con una fuerte reputación en seguridad pueden ser vulnerables ante cibercriminales persistentes.
Conclusión
Este incidente subraya la necesidad de una vigilancia constante y actualizaciones rápidas para mitigar las amenazas, especialmente en entornos empresariales donde los datos sensibles están en juego.