Falla en sistema de actualizaciones de macOS podría permitir que actores maliciosos accedan a los archivos del equipo

Una falla de inyección relacionada con la forma en que macOS maneja las actualizaciones de software en el sistema podría permitir a los atacantes acceder a todos los archivos en los dispositivos Mac. La noticia proviene del especialista en seguridad de Mac, Patrick Wardle, quien, en una publicación de blog de Sector7 (y en la […]

Una falla de inyección relacionada con la forma en que macOS maneja las actualizaciones de software en el sistema podría permitir a los atacantes acceder a todos los archivos en los dispositivos Mac.

La noticia proviene del especialista en seguridad de Mac, Patrick Wardle, quien, en una publicación de blog de Sector7 (y en la conferencia Black Hat en Las Vegas), demostró cómo los actores de amenazas pueden abusar de la falla para apoderarse del dispositivo.

Después de implementar el ataque inicial, Alkemade pudo escapar del sandbox de macOS (una característica diseñada para limitar los hackeos exitosos a una aplicación) y luego eludir la Protección de integridad del sistema (SIP), que permitió la implementación de código no autorizado.

El investigador de seguridad afirmó que encontró la vulnerabilidad por primera vez en diciembre de 2020 y posteriormente informó el problema a Apple a través del esquema de recompensas por errores de la compañía.

Wardle también explicó que, si bien la vulnerabilidad aprovechó múltiples fallas después de que Apple la descubrió, la compañía abordó la mayoría de ellas en abril de 2021 y una fue reparada en octubre de 2021.

Ambas actualizaciones no profundizan en los detalles técnicos de las vulnerabilidades, simplemente dicen que la falla podría permitir que las aplicaciones maliciosas filtren información confidencial del usuario y aumenten los privilegios de un atacante.

“En la arquitectura de seguridad actual de macOS, la inyección de procesos es una técnica poderosa”, escribió Wardle en su publicación de blog.

“Se puede usar una vulnerabilidad de inyección de proceso genérica para escapar de la zona de pruebas, elevar los privilegios a la raíz y eludir las restricciones del sistema de archivos de SIP. Hemos demostrado cómo usamos el uso de la deserialización insegura en la carga del estado guardado de una aplicación para inyectar en cualquier proceso de Cocoa”, concluyó el aviso.

“Esto fue abordado por Apple en la actualización de macOS Monterey”.

La divulgación de la vulnerabilidad y sus parches se produce semanas después de que los investigadores de seguridad de ESET encontraran una puerta trasera de macOS a la que llamaron «CloudMensis» que se estaba utilizando en ataques dirigidos para robar información confidencial de las víctimas.