Shrootless: la vulnerabilidad descubierta por Microsoft en macOS

Microsoft dio a conocer que atacantes cibernéticos de Shrootless podrían usar una nueva vulnerabilidad de macOS para poder eludir la Protección de Integridad del Sistema (SIP), de esta forma podrás hacer alteraciones de forma arbitraria. Además de esto, también podrán elevar los privilegios a root y también instalar rootkits en aquellos dispositivos que se encuentren vulnerables.

Cabe destacar que el equipo de investigación de Microsoft 365 Defender, fue en encargado de informar a la Apple sobre dicha vulnerabilidad, la cual fue llamada Shrootless. Además de que dicha vulnerabilidad ya fue rastreada como (CVE-2021-30892), con la ayuda de Microsoft Security Vulnerability Research o por sus siglas abreviadas (MSVR).

En breve te explicaremos un poco más a detalle todo lo que debes saber de la vulnerabilidad Shrootless, y cómo está presenta ser una amenaza a la seguridad de los usuarios.

Seguridad Rootless de macOS

SIP también conocida a nivel mundial como «Rootless», es una tecnología de seguridad perteneciente a macOS, su función se basa en bloquear software que sea malicioso; de esta forma no tendrás acceso a modificar carpetas y archivos. Mismo que se encuentran protegidos al restringir la cuenta del usuario raíz, de esta forma se limitan las acciones que este puede realizar en las partes protegidas del sistema operativo.

Debido a su diseño y a la seguridad, SIP sólo permite que aquellos derechos especiales, como las actualizaciones de software de la misma Apple o instaladores de Apple, tengan acceso a partes que se encuentran protegidas de macOS. Sin embargo y mediante todas estas restricciones, Shrootless podría causar  problemas, pero gracias a Microsoft lograron darse cuenta de este problema de seguridad.

Shrootless supone un serio problema de seguridad 

Este problema de seguridad ligado  Shrootless fue descubierto gracias a la colaboración de los investigadores Microsoft, esto pasó luego que ellos notarán que el System Installed poseía el derecho com.apple.rootless.install.inheritable.

Cabe mencionar que este permitía que cualquier proceso podría pasar por completo de las restricciones del sistema de archivos o SIP.

¿De donde viene la vulnerabilidad Shrootless?

Microsoft descubrió que dicha vulnerabilidad radica en la forma como se instalan los paquetes firmados por la misma Apple, así como los scripts luego de dicha instalación. Dicho todo esto, significa que una persona podría generar un ciberataque creando un archivo especialmente diseñado para dañar el proceso de instalación.

Luego de pasar por alto las restricciones SIP, dicho atacante podría instalar un controlador malicioso (Rootkit), sobrescribir los archivos del sistema o simplemente instalar un malware que sea definitivo e indefectible.

¿Cómo Apple le daría fin a la vulnerabilidad causada por Shrootless? 

Apple anunció la solución para darle fin a la vulnerabilidad causada por Shrootless, esto se llevaría a cabo mediante las actuaciones de seguridad publicadas el 26 de octubre. Por lo cual, Apple decidió abordar este problema de seguridad con muchas restricciones adicionales, todo esto gracias a ApdateAgent o Vigram usado para crear técnicas de evasión y persistencia.

Por otra parte, con la ayuda de este troyano y su implementación para contraatacar malware de segunda etapa, incluido en esta Adload; la cual es nueva cepa contra malware activada desde finales de 2017. 

Gracias a la ayuda de Microsoft, Apple puede dar fin a Shrootless, asegurando de esta forma la seguridad de todos sus usuarios.

También te puede interesar:

• Microsoft trabaja en una nueva versión de Windows Defender (imagen)
• Microsoft soluciona 4 vulnerabilidades de Día 0 en su última actualización
• Windows 11 está llegando cada vez a más usuarios de forma oficial