lunes, 13 de agosto de 2018

MACOS


Con sólo dos líneas de código, un investigador ha conseguido saltarse los diálogos de seguridad de macOS mediante clicks virtuales, comprometiendo su seguridad cargando extensiones del Kernel. La semana pasada les hablábamos de una vulnerabilidad que podía solucionarse actualizando a High Sierra 10.13.6, pero esta vez hablamos precisamente de una vulnerabilidad de día cero presente en esa versión del sistema operativo.

Utilizando este método un atacante podría conseguir acceso al Kernel del sistema operativo, lo que le daría acceso a todo el sistema, y permitiría comprometer por completo el equipo de un usuario. Apple ha intentado varios métodos para bloquear este tipo de clicks virtuales o invisibles para saltarse las medidas de seguridad, pero tal y como ha descubierto Patrick Wardle, director de investigación en Digita Security, en la Defcon de Las Vegas, estas medidas no han sido suficientes.

Tal y como explican en Threat Post, macOS tiene un sistema para evitar la carga indeseada de extensiones del Kernel mostrándole al usuario un diálogo para que responda si permite o no que el software tenga permisos para acceder a los datos necesarios.

Y lo que ha hecho Wardle es encontrar un método para responder a esa pregunta de forma automática sin el permiso del usuario. Una vez conseguido, tendría la capacidad de acceder a datos como los contactos, la ubicación del usuario o todas las claves almacenadas en el sistema operativo. Además, para evitar ser descubiertos estos clicks podrían realizarse cuando el usuario no esté mirando a la pantalla.

¿Y cómo lo ha conseguido? Pues haciendo un poco el tonto, tal y como él mismo ha dicho, descubrió que macOS High Sierra interpreta dos eventos sintéticos "hacia abajo" como una aprobación manual del diálogo de permiso. Por lo tanto, con sólo dos líneas de código en un malware para añadir ese gesto sería suficiente para saltarse la seguridad del sistema operativo.

Un error descubierto por casualidad

"Estaba haciendo un poco el tonto con esta característica. Copié y pegué el código de un mouse sintético dos veces accidentalmente, olvidando cambiar el valor de un indicador que indicaría un evento de mouse "arriba". Sin darme cuenta de mi "error", compilé y ejecuté el código, y honestamente me quedé bastante sorprendido cuando generó un clic sintético permitido", ha explicado Wardle durante la conferencia.

"Por alguna razón desconocida, los dos eventos sintéticos del mouse 'hacia abajo' confunden al sistema y el sistema operativo lo ve como un clic legítimo", ha explicado. "Esto rompe por completo un mecanismo de seguridad fundamental de High Sierra".

La carga de extensiones para el Kernel fue añadida en High Sierra, por lo que tal y como ha explicado el propio investigador, esta vulnerabilidad sólo afecta a la última versión de macOS. Además, está el hecho de que para poder ejecutar este comando el malware tiene que estar ya en el ordenador, por lo que para poder aprovecharse de la vulnerabilidad todavía hay que engañar al usuario antes de hacer lo mismo con el sistema.

Aunque Wardle ha asegurado que se trata de un error tan básico que hasta a él mismo le da vergüenza hablar de él, no hay que olvidar que este tipo de descubrimientos son realmente útiles. Además, al exponerlos en una conferencia de este nivel los hackers se aseguran de que empresas como Apple sean conscientes de estos errores, de manera que puedan solucionarlos fácilmente.

Lo lógico en casos como este sería que en las próximas semanas Apple lanzase algún tipo de solución con la que parchear esta vulnerabilidad. En cualquier caso, las recomendación de seguridad sigue siendo la misma que con cualquier otro sistema operativo, la de no descargar ejecutables cuya procedencia no esté clara para evitar cualquier tipo de infección.

Vía | Threat Post



Publicado bajo licencia Creative Commons.

No hay comentarios.:

Publicar un comentario