Apple corrige una falla de seguridad de macOS detrás del bypass de Gatekeeper

Apple ha abordado una vulnerabilidad de macOS que las aplicaciones basadas en scripts no firmadas y no anotadas podrían explotar para eludir todos los mecanismos de protección de seguridad de macOS incluso en sistemas con parches completos.

Si eluden las comprobaciones de seguridad de notarización automatizadas (que escanean en busca de componentes maliciosos y problemas de firma de códigos), Gatekeeper permite que las aplicaciones se inicien , una función de seguridad de macOS diseñada para verificar si las aplicaciones descargadas están certificadas por notario y firmadas por el desarrollador.

Una vez que se lanzan aplicaciones maliciosas basadas en scripts que apuntan a la falla de derivación ( CVE-2021-30853 ) en el sistema de un objetivo, los atacantes pueden usarlas para descargar e implementar cargas útiles maliciosas de segunda etapa.

Apple ha abordado esta vulnerabilidad en macOS 11.6 a través de una actualización de seguridad lanzada en septiembre de 2021 que agrega controles mejorados.

Bypass del portero con un shebang

El ingeniero de seguridad de Box Offensive, Gordon Long, descubrió el error de derivación de Gatekeeper CVE-2021-30853 y lo informó a Apple .

Descubrió que las aplicaciones basadas en secuencias de comandos especialmente diseñadas descargadas de Internet se iniciarían sin mostrar una alerta, aunque se pusieran en cuarentena automáticamente.

La parte "especialmente diseñada" requiere la creación de una aplicación que use un script que comience con un carácter shebang (! #) Pero deje el resto de la línea vacía, lo que le dice al shell de Unix que ejecute el script sin especificar un intérprete de comandos de shell.

Esto conduce a una omisión de Gatekeeper porque el daemon syspolicyd comúnmente invocado automáticamente por la extensión del kernel AppleSystemPolicy para realizar verificaciones de seguridad (firma y notarización) ya no se activa para inspección cuando se inicia un script sin especificar un intérprete.

Básicamente, si el script usaba un shebang (! #) Pero no especificaba explícitamente un intérprete, omitiría las comprobaciones de seguridad de Gatekeeper.


"El demonio syspolicyd realizará varias comprobaciones de políticas y, en última instancia, evitará la ejecución de aplicaciones que no sean de confianza, como las que no están firmadas o no anotadas", explicó. investigador de seguridad Patrick Wardle.

"Pero, ¿qué pasa si el kext de AppleSystemPolicy decide que el demonio syspolicyd no necesita ser invocado? Bueno, entonces, ¡el proceso está permitido! Y si esta decisión se toma incorrectamente, entonces, tiene una excelente cuarentena de archivos, guardián y certificación notarial. derivación."

Como reveló Wardle, los actores de amenazas pueden explotar esta falla engañando a sus objetivos para que abran una aplicación maliciosa que también se puede camuflar como un documento PDF de apariencia benigna.

Estas cargas útiles maliciosas se pueden entregar en los sistemas de los objetivos a través de muchos métodos, incluidos resultados de búsqueda envenenados, actualizaciones falsas y aplicaciones troyanas descargadas de sitios que enlazan con software pirateado.


Errores similares explotados por malware

Este no es el primer error de macOS corregido por Apple que permitiría a los actores de amenazas eludir por completo los mecanismos de seguridad del sistema operativo como Gatekeeper y File Quarantine en Mac con parches completos.

En abril, Apple parcheó una vulnerabilidad de día cero explotada en la naturaleza por los operadores de malware Shlayer para eludir los controles de seguridad automatizados de macOS e implementar cargas útiles adicionales en Mac comprometidas.

Los actores de amenazas de Shlayer comenzaron a apuntar a los usuarios de macOS con malware sin firmar y no anotado que explotaba el error de día cero ( registrado como CVE-2021-30657 ) a partir de enero de 2021, como descubrió el equipo de detección de Jamf Protect .

Microsoft también descubrió una vulnerabilidad de macOS en octubre, denominada Shrootless y rastreada como CVE-2021-30892 ), que podría usarse para eludir la Protección de Integridad del Sistema (SIP) y realizar operaciones arbitrarias, elevar los privilegios a root e instalar rootkits en dispositivos comprometidos.

"Una aplicación maliciosa puede modificar partes protegidas del sistema de archivos", dijo Apple en un aviso de seguridad emitido después de corregir el error de Shrootless.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta