Microsoft ha revelado recientemente un peligroso descubrimiento en el sistema operativo de Apple, macOS que le permitía a los atacantes colar malware sin que estos fueran descubiertos por los mecanismos de protección del sistema.
La falla de seguridad llamada «Achilles» (CVE-2022-42821) fue abordada por los Cupertinos en macOS Ventura 13 , Monterey 12.6.2 y Big Sur 11.7.2, describiéndola como un problema lógico que podría ser utilizado por una aplicación maliciosa para eludir los controles de Gatekeeper.
Microsoft detalla la vulnerabilidad de macOS
Las omisiones de Gatekeeper como esta podrían aprovecharse como un vector para el acceso inicial de malware y otras amenazas y podrían ayudar a aumentar la tasa de éxito de campañas y ataques maliciosos en macOS, así lo ha mencionado Jonathan Bar Or, equipo de Microsoft 365 Defender Research.
Para ponerlos un poco en situación, Gatekeeper es un mecanismo de seguridad que fue diseñado para garantizar que solo se ejecuten aplicaciones confiables en el sistema operativo.
Este proceso se realiza mediante el atributo extendido llamado «com.apple.quarantine» que se asigna a los archivos descargados por el usuario de Internet.
Por lo tanto, cuando un usuario desprevenido descarga una aplicación potencialmente dañina que se hace pasar por una pieza de software legítimo, la función Gatekeeper evita que las aplicaciones se ejecuten, ya que Apple no las ha firmado ni certificado de manera válida.
Incluso en los casos en que la compañía Apple aprueba una aplicación, a los usuarios finales se les muestra un aviso cuando se inicia por primera vez para solicitar su consentimiento explícito.
Cabe señalar que el papel que desempeña Gatekeeper en macOS es crucial, es difícil no imaginar las consecuencias de eludir la barrera de seguridad, ya que esto podría permitir que los ciberdelincuentes implementen malware en sus dispositivos.
La vulnerabilidad de Achilles identificada por la compañía Microsoft explota un modelo de permisos llamado Listas de control de acceso para agregar permisos extremadamente restrictivos a un archivo descargado, lo que impide que Safari configure el atributo extendido de cuarentena.
En un escenario de ataque hipotético, un adversario podría adoptar la técnica para crear una aplicación maliciosa y alojarla en un servidor, que luego podría entregarse a un posible objetivo a través de ingeniería social, anuncios maliciosos o un abrevadero.
El método también elude el modo de bloqueo recientemente introducido por Apple en macOS Ventura, una configuración restrictiva opcional para contrarrestar las vulnerabilidades de clic cero, lo que requiere que los usuarios apliquen las últimas actualizaciones para mitigar las amenazas.
