Zero day en Gatekeeper (Mac) está permitiendo ataques con malware

Una falla de seguridad encontrada en Gatekeeper, un sistema de seguridad de macOS que escanea y aprueba las aplicaciones de ejecución descargadas de Internet, está siendo abusada con el malware OSX/Linker.

A fines de mayo, el investigador de seguridad Filippo Cavallarin reveló un error en Gatekeeper que permitiría que un binario malintencionado descargado de Internet pasara por alto el proceso de escaneo de Gatekeeper.

El truco consistía en empaquetar un enlace simbólico (enlace simbólico) dentro de un archivo comprimido y tener el enlace del enlace simbólico de nuevo a un servidor de Sistema de Archivos de Red (NFS) controlado por un atacante.

Cavallarin descubrió que Gatekeeper no escanearía este tipo de archivos y permitiría a los usuarios ejecutar los enlaces simbólicos. Si los enlaces simbólicos fueran maliciosos, los atacantes podrían ejecutar código dañino en los sistemas macOS de las víctimas.

Todas las versiones de macOS están afectadas, incluida la última versión 10.14.5, y Apple aún está al debe con un parche para este problema (ha pasado un mes).

Respecto el malware, el investigador señaló que descubrió muestras de malware que intentaban abusar de la vulnerabilidad en Gatekeeper

Las muestras de malware parecían pruebas comunes, pero se firmaron con certificados utilizados anteriormente por el equipo de piratas informáticos creadores del adware OSX/Surfbuyer.

Además, todas las muestras de malware OSX / Linker «de prueba» fueron disfrazadas de instaladores de Adobe Flash Player, que es una de las formas más comunes en que los creadores de malware engañan a los usuarios de Mac para que instalen malware.

Todavía no se ha reportado ningún ataque de malware OSX / Linker; Sin embargo, eso no significa que no esté sucediendo.

Long dijo que notificó a Apple que los creadores del adware OSX / Surfbuyer abusaron de una ID de desarrollador de Apple para firmar sus muestras maliciosas de OSX / Linker. El fabricante del sistema operativo está en el proceso de revocar el certificado abusado.