Un fallo en la utilidad de archivo de macOS permite que los atacantes puedan evadir Gatekeeper

Únete a nuestra comunidad en Telegram

Una de las mejores razones para mantener macOS actualizado es protegerse contra problemas de seguridad, y Jamf encontró uno importante en el verano de 2022 que permitió a los atacantes eludir macOS Gatekeeper.

Jamf Threat Labs encontró la vulnerabilidad en macOS Monterey 12.5. La compañía lo informó a Apple el 31 de mayo de 2022, y Apple lo parcheó en julio.

Jamf dice que comenzó cuando su equipo encontró una falla en Safari que podría eludir la seguridad del punto final de Mac, una API del sistema que monitorea la actividad potencialmente maliciosa.

Antes del parche, un atacante podía poner una aplicación maliciosa dentro de un archivo ZIP utilizando un comando de Terminal específico para explotar la falla de Safari. Después de que el equipo reportó esa falla a Apple, investigaron otras características de archivo que podrían ser vulnerables a problemas similares.

Utilidad de archivo

Después de probar macOS Archive Utility, una aplicación incorporada que puede comprimir y descomprimir archivos, encontraron una falla diferente. Se rastrea como CVE-2022-32910 en la base de datos de vulnerabilidades y exposiciones comunes que realiza un seguimiento de las fallas de seguridad en todas las plataformas.

Jamf descubrió que la creación de un archivo de Apple utilizando Archive Utility con un comando similar dio como resultado que el archivo omitiera Gatekeeper y todas las comprobaciones de seguridad al abrirse con un doble clic.

Un archivo de Apple es el formato propietario de la compañía que permite la compresión sin pérdidas. Estos archivos tienen una extensión «.aar» cuando se muestran en finder. Sin embargo, el equipo dice que la falla no se limita a los archivos de Apple.

Cómo se vincula Safari

Jamf explica que cuando un archivo se descarga de Internet, tiene un atributo único agregado llamado com.apple.quarantine. Le dice a macOS que el archivo se ha descargado de una fuente remota y debe verificarse antes de que se le permita ejecutarse.

Cuando Archive Utility extrae un archivo, aplica el atributo de cuarentena a todos los elementos extraídos.

En su ejemplo, el equipo agregó un archivo de imagen fuera del lugar habitual donde el sistema aplica com.apple.quarantine. Luego, cuando Archive Utility desarchivó el archivo, esa imagen no tenía el atributo de cuarentena, aunque los otros archivos sí lo tenían.

The file without a quarantine attribute
El archivo sin un atributo de cuarentena

Como resultado, Gatekeeper no verificará ese archivo fuera del directorio habitual dentro del archivo. En lugar de un archivo de imagen utilizado en el ejemplo, un atacante podría agregar una aplicación maliciosa.

Luego, cuando el usuario abre el archivo que descargó de Internet, el código malicosco podría ejecutarse automáticamente y el usuario no vería un mensaje de seguridad por parte del sistema.

Cómo protegerse

La forma más obvia de protegerse de este ataque es mantener macOS actualizado, ya que la falla ha sido parcheada desde el verano.

Los usuarios pueden descargar otras aplicaciones de seguridad, como antivirus o antimalware.

Las herramientas de Objective See son una alternativa popular a los antivirus, aunque se pueden usar en conjunto. Son aplicaciones gratuitas de código abierto que complementan la seguridad nativa de mac.

iOS 16 Rapid Security Response
Respuesta de seguridad rápida de iOS 16

En iOS 16, iPadOS 16 y macOS Ventura, Apple tiene una función llamada Respuesta de seguridad rápida. Permite a la compañía enviar actualizaciones de seguridad a los dispositivos sin necesidad de una actualización de software completa.

En iOS 16 y iPadOS 16, se encuentra en Configuración > Actualización de software de > general > Actualizaciones automáticas. Un interruptor llamado «Instalar respuestas de seguridad y archivos del sistema» dice que los parches para errores de seguridad y archivos del sistema se instalarán automáticamente.

Es posible que el usuario deba reiniciar su dispositivo para completar la instalación, pero algunos archivos del sistema pueden instalarse automáticamente incluso si el interruptor está desactivado.

Últimas noticias