Protecciones de día 0 de Mac explotadas activamente para sistemas operativos de núcleo castrado


Protecciones de día 0 de Mac explotadas activamente para sistemas operativos de núcleo castrado

imágenes falsas

Cuando Apple lanzó la última versión 11.3 para macOS el lunes, no solo se admitieron nuevas funciones y optimizaciones. Más importante aún, la compañía solucionó una vulnerabilidad de día cero que los piratas informáticos explotaron activamente para instalar malware sin activar mecanismos de seguridad clave de Mac, algunos de los cuales existen desde hace más de una década.

Juntas, las protecciones brindan una protección integral que evita que los usuarios instalen accidentalmente malware en sus Mac. Si bien las vulnerabilidades de un solo clic e incluso de cero clic reciben mucha atención, es mucho más común ver aplicaciones troyanizadas que disfrazan el malware como un juego, actualización u otro software deseable.

Proteger a los usuarios de sí mismos

Los ingenieros de Apple saben que los troyanos representan una amenaza mayor para la mayoría de los usuarios de Mac que los exploits más sofisticados que instalan malware de forma sigilosa con una interacción mínima o nula por parte del usuario. Entonces, una parte clave de la seguridad de Mac se basa en tres mecanismos relacionados:

  • La cuarentena de archivos requiere la confirmación explícita del usuario antes de que se pueda ejecutar un archivo descargado de Internet.
  • Gatekeeper bloquea la instalación de aplicaciones a menos que hayan sido firmadas por un desarrollador conocido por Apple.
  • La legalización obligatoria de las aplicaciones significa que las aplicaciones solo se pueden instalar después de que Apple las haya verificado en busca de malware.

A principios de este año, el malware conocido por los expertos en seguridad de Mac comenzó a explotar una vulnerabilidad que le permitió suprimir por completo los tres mecanismos. Se llama Shlayer y ha tenido un récord impresionante en los tres años desde que se publicó por primera vez.

En septiembre pasado, por ejemplo, logró pasar el análisis de seguridad que Apple necesita para autenticar aplicaciones. Se entregó hace dos años en una campaña sofisticada que pasó por alto la detección de malware utilizando un nuevo tipo de esteganografía. Y el año pasado, Kaspersky dijo que Shlayer era el malware de Mac más común detectado por los productos de la compañía. Se identificaron casi 32.000 variantes diferentes.

Evasión inteligente

La explotación de Shlayer del día cero, que comenzó a más tardar en enero, fue otro logro impresionante. En lugar de usar el formato Mach-O estándar para un archivo ejecutable de Mac, el componente ejecutable en este ataque fue el script macOS, que ejecuta una serie de comandos de línea en un orden específico.

Normalmente, los scripts descargados de Internet se clasifican como paquetes de aplicaciones y están sujetos a los mismos requisitos que otros tipos de archivos ejecutables. Sin embargo, un simple truco permitió a los scripts evadir estos requisitos por completo.

La eliminación del archivo info.plist, un archivo de texto estructurado que asigna la ubicación de los archivos de los que depende, ya no registra el script como un paquete ejecutable con macOS. En cambio, el archivo se trató como un PDF o algún otro archivo no ejecutable que no estaba sujeto a Gatekeeper y otros mecanismos.

Uno de los ataques comenzó cuando se mostró un anuncio de una actualización falsa de Adobe Flash:

Jamf

Los videos a continuación muestran la gran diferencia que hizo el exploit cuando alguien mordió el anzuelo y presionó la descarga. El video directamente debajo muestra lo que vio el espectador con las restricciones eliminadas. A continuación, se muestra cuánto más sospechosa habría parecido la actualización si las restricciones hubieran estado vigentes.

Ataque Shlayer explotado por CVE-2021-30657.

Ataque Shlayer sin explotar CVE-2021-30657.

El error, registrado como CVE-2021-30657, fue descubierto por el investigador de seguridad Cedric Owens y reportado a Apple. Dijo que lo encontró mientras usaba una herramienta de desarrollo llamada Appify mientras buscaba un ejercicio de «equipo rojo» en el que los piratas informáticos simulan un ataque del mundo real para encontrar vulnerabilidades previamente pasadas por alto.

«Descubrí que Appify puede convertir un script de shell en una ‘aplicación’ en la que se puede hacer doble clic (en realidad, solo un script de shell dentro de la estructura de directorios de la aplicación macOS, pero macOS lo trató como una aplicación)», escribió en un mensaje directo. “Y cuando se ejecuta, pasa por alto a los porteros. De hecho, lo informé bastante rápido después de descubrirlo y no lo usé en un ejercicio del equipo rojo en vivo. «

Apple solucionó la vulnerabilidad con el lanzamiento de macOS 11.3 el lunes. Owens dijo que el error parece haber existido desde que se lanzó macOS 10.15 en junio de 2019 cuando se introdujo la autenticación.

Owens discutió el error con Patrick Wardle, un profesional de seguridad de Mac que anteriormente trabajó en Jamf, un proveedor de seguridad de Mac para empresas. Wardle luego se acercó a los investigadores de Jamf que descubrieron la variante de Shlayer, que estaba explotando la vulnerabilidad antes de que Apple o la mayor parte de la comunidad de seguridad la conocieran.

«Uno de nuestros descubrimientos nos llamó la atención sobre esta nueva variante y, tras una inspección más cercana, descubrimos que este bypass se está utilizando para que pueda instalarse sin que el usuario final lo solicite», me dijo el investigador de Jamf, Jaron Bradley. «Un análisis más detallado sugiere que los desarrolladores de malware descubrieron Zeroday y adaptaron su malware para su uso a principios de 2021».

Wardle desarrolló un exploit de prueba de concepto que mostraba cómo funciona la variante Shlayer. Una vez descargado de Internet, el script ejecutable aparecerá como un archivo PDF llamado Patrick’s Resume. Tan pronto como alguien haga doble clic en el archivo, se iniciará un archivo llamado calculator.app. El exploit podría ejecutar fácilmente un archivo malicioso.

Patrick Wardle

En una inmersión de 12.000 palabras que examina las causas y los efectos de los exploits, Wardle concluyó:

Aunque este error ahora se ha corregido, muestra claramente (nuevamente) que macOS no es inmune a errores increíblemente superficiales pero extremadamente poderosos. ¿Qué tan plano? Bueno, el hecho de que una herramienta de desarrollo legítima (Appify) arrojara accidentalmente el error es más que ridículo (y triste).

¿Y qué tan efectivo? Básicamente, la seguridad de macOS (relacionada con la evaluación de las aplicaciones iniciadas por el usuario que constituyen la gran mayoría de las infecciones de macOS) ha sido completamente cuestionada.

Bradley publicó una publicación en la que compartió cómo era el exploit y cómo funcionaba.

Muchas personas encuentran que el malware como Shlayer es sencillo porque se basa en burlar a sus víctimas. Para darle a Shlayer el derecho, el malware es altamente efectivo, en gran parte debido a su capacidad para suprimir las defensas de macOS que tienen como objetivo alertar a los usuarios antes de que se infecten accidentalmente. Aquellos que quieran saber si han sido afectados por este exploit pueden descargar este script de Python escrito por Wardle.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *