Microsoft reveló recientemente una vulnerabilidad macOS, identificado como CVE-2022-26706, que podría permitir que los códigos especialmente diseñados escapen de App Sandbox y se ejecuten sin restricciones. Los hallazgos se han compartido con Apple a través de los programas Coordinated Vulnerability Disclosure y Microsoft Security Vulnerability Research..
También está disponible un código de prueba de concepto. Afortunadamente, Apple ya ha lanzado una solución para CVE-2022-26706, que se incluyó en las actualizaciones de seguridad de mayo 16, 2022. El crédito de divulgación se compartió con el investigador de seguridad Arsenii Kostromin, quien descubrió una técnica similar de forma independiente., microsoft dijo.
CVE-2022-26706: Descripción técnica
Según la descripción técnica de la base de datos nacional de vulnerabilidad, la vulnerabilidad es un problema de acceso que se soluciona con restricciones adicionales de sandbox en aplicaciones de terceros. La vulnerabilidad ha sido corregida en iPadOS 15.5, watchos 8.6, macOS Big Sur 11.6.6, macOS Monterrey 12.4.
Microsoft se encontró con el problema mientras investigaba posibles formas de ejecutar y detectar macros maliciosas en Microsoft Office en macOS.
“Para compatibilidad con versiones anteriores, Microsoft Word puede leer o escribir archivos con un prefijo "~$". Nuestros hallazgos revelaron que era posible escapar de la zona de pruebas aprovechando los servicios de lanzamiento de macOS para ejecutar un comando open –stdin en un archivo de Python especialmente diseñado con dicho prefijo.,” explicó el gigante tecnológico.
La investigación muestra que incluso el integrado, Las funciones de seguridad de referencia en macOS aún podrían pasarse por alto. Colaboración entre investigadores de vulnerabilidad, proveedores de software, y la comunidad de seguridad en general sigue siendo crucial para ayudar a asegurar la experiencia general del usuario, Microsoft adicional.
Cabe destacar que en junio 2022, investigadores de seguridad descubiertos una nueva técnica de evasión de sandbox. Llamado martillo API, la técnica implica el uso de una gran cantidad de llamadas a las API de Windows para lograr una condición de suspensión extendida. Este último ayuda a evadir la detección en entornos de sandbox.. El hallazgo proviene de la Unidad de Palo Alto 42 investigadores. El equipo encontró muestras de Zloader y BazarLoader que usaban dicha técnica de martillado API.