Microsoft informa que macOS Gatekeeper tiene un talón de Aquiles • The Register
Los investigadores de seguridad de Microsoft han descubierto un error en macOS que permite que las aplicaciones maliciosas pasen por alto el software de seguridad Gatekeeper de Apple «para el acceso inicial de malware y otras amenazas».
Apodado «Aquiles» (que suena más sexy que CVE-2022-42821) Los investigadores de Microsoft dijeron que la vulnerabilidad se descubrió a fines de julio y Apple corrigió rápidamente todas las versiones afectadas de sus sistemas operativos después de que el equipo siguiera la divulgación responsable.
Independientemente de esa solución, sigue siendo fundamental que los usuarios de macOS actualicen sus sistemas con las últimas versiones protegidas, dijo Microsoft, porque el muy elogiado modo de bloqueo de Apple no fue diseñado para proteger contra amenazas de tipo Achilles.
«Los usuarios finales deben aplicar la solución independientemente de su estado de modo de bloqueo», dijo Microsoft.
Cómo distraer a un guardián
Gatekeeper ha sido parte de macOS durante una década y se usa para validar que las aplicaciones estén firmadas y autenticadas antes de permitir su lanzamiento. Si no se reconoce una aplicación, Gatekeeper la bloquea de manera predeterminada, aunque esto puede ser anulado por un usuario que esté dispuesto a aceptar el riesgo.
Sin embargo, con Achilles, la prueba de concepto de Microsoft pudo aprovechar la forma en que macOS implementa listas de control de acceso (ACL) para Pasa por alto completamente al Guardián🇧🇷
Las infecciones de macOS a menudo son el resultado de usuarios que ejecutan aplicaciones maliciosas, escribió el investigador principal de seguridad de Microsoft, Jonathan Bar Or, en el informe de la compañía. informe en el error Dijo que Apple había impuesto «fuertes mecanismos de seguridad» en macOS para combatir el uso de malware disfrazado o aplicaciones legítimas pero infectadas.
Apple hace esto al asignar un atributo extendido especial a los archivos que usa para hacer cumplir ciertas políticas, como las cuarentenas de Gatekeeper. Pero mientras investigaba las omisiones recientes de Gatekeeper, el equipo notó dos enfoques comunes: el mal uso de los atributos extendidos y el descubrimiento de vulnerabilidades en los verificadores de políticas que ponen en cuarentena los archivos.
Un análisis más detallado de una vulnerabilidad específica informada en 2021 llevó a los investigadores a recurrir a los archivos comprimidos como método para eludir Gatekeeper, y encontraron uno en forma de archivos binarios AppleDouble, que guardan los metadatos en un archivo separado.
Cuando macOS extrae los archivos AppleDouble, encontraron que todos los atributos extendidos del archivo también se restauran. Deslice el atributo extendido derecho usando el xattr comando, como una ACL modificada, y tiene una manera de decirle al Gatekeeper que lo que sea que esté mirando definitivamente no es el archivo que está buscando, dijo Bar Orr.
“Nuestros datos muestran que las aplicaciones maliciosas siguen siendo uno de los principales vectores de entrada en macOS, lo que indica que las técnicas de elusión de Gatekeeper son una capacidad atractiva e incluso necesaria para que los adversarios aprovechen los ataques”, escribió Bar Or.
Modo de bloqueo, modo schmockdown
Apple afirmó en julio que el modo de bloqueo era tan seguro y que la empresa confiaba tanto en sus capacidades que era duplicando sus pagos de recompensas por errores hasta un máximo de $2 millones para compromisos de modo de bloqueo.
Apple describe el modo de bloqueo como dirigido a un pequeño número de usuarios cuyas vidas y/o trabajo los convierten en objetivos de amenazas digitales. El modo opcional está diseñado para combatir los kits de spyware patrocinados por el gobierno como Pegasus mediante el bloqueo de archivos adjuntos, la desactivación de algunas tecnologías web, el bloqueo de llamadas FaceTime, la prohibición de conexiones por cable y el bloqueo de la instalación de perfiles de configuración y software MDM.
Desafortunadamente, la infiltración de código malicioso a través de un binario comprometido no es una de las características del modo de bloqueo, aunque Apple ha dicho que planea agregar características con el tiempo; con suerte, un Gatekeeper más fuerte hará el corte.
Desafortunadamente para Bar Or y Microsoft, Achilles no califica para una recompensa de modo de bloqueo de ningún tamaño. «El modo de bloqueo no está destinado a lidiar con esta clase de exploits, por lo que no lo detendrá», nos dijo Bar Or. 🇧🇷