Apple solucionó recientemente una falla de día cero en macOS que podría eludir las protecciones antimalware del sistema operativo.. La investigación también muestra que una variante del conocido malware Shlayer ya ha estado explotando la falla durante varios meses..
CVE-2021-30657 Descripción general técnica de día cero
La vulnerabilidad fue descubierta por el investigador de seguridad Cedric Owens., y ha sido rastreado CVE-2021-30657. Como lo explicó Patrick Wardle, a quien Owens le pidió que proporcionara un análisis más profundo, la vulnerabilidad elude trivialmente muchos mecanismos de seguridad básicos de Apple, creando una gran amenaza para los usuarios de Mac.
El exploit ha sido probado en macOS Catalina 10.15, y en versiones de Big Sur antes 11.3. Se envió un informe a Apple en marzo 25.
“Esta carga útil se puede usar en phishing y todo lo que la víctima tiene que hacer es hacer doble clic para abrir el .dmg y hacer doble clic en la aplicación falsa dentro del .dmg; no se generan ventanas emergentes ni advertencias de macOS,"Owens explicado en su blog de Medium.
En cuanto al análisis más extenso de Wardle, reveló que el error CVE-2021-30657 podría eludir tres protecciones antimalware clave en macOS: cuarentena de archivos, Portero, y notarización. Cabe destacar que la notarización es la última característica de seguridad de las tres, introducido en macOS Catalina (10.15). La función introduce la notarización de aplicaciones que debe garantizar que Apple haya escaneado y aprobado todas las aplicaciones antes de que se les permita ejecutar..
Triple amenaza de día cero
Poco dicho, el día cero es una triple amenaza que permite que el malware ingrese al sistema libremente. Para ello, el exploit desencadena un movimiento un error lógico en el código subyacente de macOS de una manera que caracteriza mal ciertos paquetes de aplicaciones y omite los controles de seguridad regulares, según la explicación de Wardle. Esto es posible debido a la forma en que las aplicaciones macOS identifican los archivos, como paquetes en lugar de diferentes archivos.. Los paquetes contienen una lista de propiedades que instruyen a la aplicación sobre las ubicaciones específicas de los archivos que necesita..
"Cualquier aplicación basada en script que no contenga un archivo Info.plist se clasificará erróneamente como" no es un paquete "y, por lo tanto, se le permitirá ejecutarse sin alertas ni avisos.,Wardle agregó.
Un análisis posterior proporcionado por la empresa Jamf reveló que la vulnerabilidad ya se ha utilizado en ataques reales..
"El malware Shlayer detectado permite a un atacante eludir a Gatekeeper, Tecnologías de seguridad de notarización y cuarentena de archivos en macOS. El exploit permite que el software no aprobado se ejecute en Mac y se distribuya a través de sitios web comprometidos o resultados de motores de búsqueda envenenados.,"Los investigadores de Jamf confirmaron.
Ataques anteriores de malware de Shlayer
El Malware Shlayer Anteriormente se sabía que desactivaba Gatekeeper en ataques contra usuarios de macOS.. Shlayer es un malware de múltiples etapas, capaz de adquirir capacidades de escalada de privilegios. Fue descubierto por primera vez en febrero. 2018 por investigadores de Intego.
También es digno de mención que Shlayer se distribuyó previamente en campañas de publicidad maliciosa a gran escala, en el cual aproximadamente 1 millones de sesiones de usuario estuvieron potencialmente expuestas.
Para prevenir los ataques, los usuarios deben actualizar sus sistemas macOS inmediatamente.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: