Los investigadores de seguridad acaban de descubrir una vulnerabilidad de derivación de firma de código que permite código malicioso hacerse pasar por un funcionario Aplicar el sistema de archivos. En otras palabras, algunas de las implementaciones de la API de firma de código oficial de Apple pueden ser explotadas por los hackers.
Apple ha hecho una API disponible para los desarrolladores que desean construir una función de seguridad que verifica los archivos de Apple como legítimo. El problema se deriva de la forma en que algunos desarrolladores han implementado la API, introduciendo así una vulnerabilidad en el producto de seguridad.
La falla permite código malicioso sin firmar para que parezca que ha sido firmado por Apple. Como resultado de este “malentendido”, El malware puede engañar a los productos y servicios de seguridad vulnerables en la creencia de que es sólo otro archivo legítimo de Apple.
¿Quién está afectado por esta vulnerabilidad? Una gran cantidad de productos de seguridad, varios proyectos de código abierto y funciones de seguridad utilizado por Google, Facebook y Yelp.
Más acerca de la vulnerabilidad
Como explicado por el investigador Josh Pitt en Okta, existe la falla en la diferencia entre la forma en las cargas del cargador Mach-O firmó el código frente a la forma inadecuada Código utilizado API Verificación de firma de código firmado y es explotada a través de una malformación / grasa Binario Universal (un formato binario que contiene varios archivos de Mach-O con cada uno para una arquitectura de CPU nativa específica).
Cabe señalar que hay varias condiciones para la vulnerabilidad de trabajar:
– El primer Mach-O en el archivo FAT / universal debe ser firmado por Apple, puede ser i386, x86_64, o incluso PPC.
– El binario malicioso, o no sea de Apple código suministrado, deben ser firmados y adhoc i386 compilados para un objetivo macOS bits x86_64.
– El CPU_Type en la cabecera de la grasa del binario de Apple se debe establecer en un tipo no válido o un tipo de CPU que no es nativo al chipset de acogida.
La prueba de concepto-inicial demostró lo fácil que es para la falla que se aprovechara - la hazaña ni siquiera requiere acceso de administrador ni requiere código JIT'ing o corrupción de memoria para eludir los controles de firma de código. Todo lo que se requiere es una “de archivos FAT / universal formato correcto, y [a continuación,] cheques de firma de código [se devuelven como siendo] válido“, el investigador señaló.
Los parches son responsabilidad del desarrollador
Adicionalmente, las API de firma de código tienen banderas que deben garantizar que todos estos archivos están firmados criptográficamente. La verdad es diferente, como "estas API están a la altura por defecto, y desarrolladores de terceras partes tendrán que forjar y verificar cada arquitectura en el archivo FAT / Universal y verificar que las identidades coinciden y son criptográficamente sonido.”En cuanto a quién es responsable de la aplicación de parches de la cuestión, investigador okta dice que es responsabilidad del desarrollador.
Conocidos afectados los vendedores y los proyectos de código abierto son alertados y parches están disponibles. He aquí una lista de los proveedores afectados y la aplicación de los parches:
Negro carbón (CVE-2018 a 10407); Facebook (CVE-2018-6336); F-Secure (CVE-2018-10403); Google (CVE-2.018 hasta 10405); objetivo de desarrollo (CVE-2018 a 10470); Objetivo-Ver (CVE-2.018-10.404); VirusTotal (CVE-2018-10408); y Yelp (CVE-2018-10.406)
Es posible que haya aún más la seguridad de terceros, medicina forense y herramientas de respuesta a incidentes que utilizan las API oficiales de firma de código, lo que significa que son partes más afectadas. El investigador insta a los desarrolladores para comprobar su código utilizando su prueba de concepto.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: