Cómo acaba de abrir un sitio en Safari que podría haber hackeado tu macOS de Apple

A principios de esta semana, el equipo de Dropbox reveló detalles de tres vulnerabilidades críticas en el sistema operativo Apple macOS , que en conjunto podrían permitir que un atacante remoto ejecutara código malintencionado en una computadora Mac dirigida simplemente al convencer a una víctima de que visite una página web maliciosa.

Las vulnerabilidades reportadas fueron descubiertas originalmente por Syndis , una empresa de ciberseguridad contratada por Dropbox para llevar a cabo ataques simulados de pruebas de penetración como Red Team en la infraestructura de TI de la compañía, incluido el software de Apple utilizado por Dropbox .

Las vulnerabilidades fueron descubiertas y reveladas al equipo de seguridad de Apple en febrero de este año, que luego Apple realizó una revisión de un mes más tarde con el lanzamiento de sus  actualizaciones de seguridad de marzo . DropBox aplaudió a Apple por su rápida respuesta a su informe de errores.

Según DropBox, las vulnerabilidades descubiertas por Syndis no solo afectaron a su flota de macOS, sino que también afectaron a todos los usuarios de Safari que ejecutaban la última versión del navegador web y el sistema operativo en ese momento.


Aquí está la lista de las tres vulnerabilidades informadas (en ese momento, cero días):

  1. La primera falla (CVE-2017-13890) que residía en el componente CoreTypes de macOS permitió que el navegador web Safari descargue y monte automáticamente una imagen de disco en el sistema de visitantes a través de una página web maliciosamente diseñada.
  2. El segundo defecto (CVE-2018-4176) residía en la forma en que las Imágenes de Disco manejaban los archivos .bundle, que son aplicaciones empaquetadas como directorios. La explotación de la falla podría haber permitido a un atacante lanzar una aplicación maliciosa desde un disco montado utilizando una utilidad de volumen de inicio llamada bless y su argumento --openfolder.
  3. La tercera vulnerabilidad (CVE-2018-4175) involucró una omisión del antimalware Gatekeeper de macOS, lo que permite que una aplicación creada con fines malintencionados omita la ejecución de la firma de código y ejecute una versión modificada de la aplicación Terminal, lo que lleva a la ejecución de comandos arbitrarios.

Como se muestra en la demostración de video de prueba de concepto, los investigadores pudieron crear un ataque en dos etapas encadenando las tres vulnerabilidades para tomar el control de una computadora Mac con solo convencer a una víctima de que visite una página web maliciosa con Safari .
"La primera etapa incluye una versión modificada de la aplicación Terminal, que se registra como un controlador para una nueva extensión de archivo (.workingpoc). Además, contendría una carpeta en blanco llamada" test.bundle "que se establecería como la la "carpeta abierta" predeterminada que abriría automáticamente /Applications/Terminal.app sin aviso ", dice DropBox en su publicación del blog .

"La segunda etapa incluye un shellscript sin signo con la extensión" .workingpoc "que luego se ejecuta dentro de la aplicación de Terminal en ejecución sin aviso".

Apple lanzó actualizaciones de seguridad el 29 de marzo que incluían las soluciones de seguridad para las tres vulnerabilidades. Por lo tanto, solo debe asegurarse de instalar todas las actualizaciones de seguridad mensuales con regularidad para proteger sus sistemas contra cualquier amenaza.




Share:

Related post

Comentarios

Facebook

Facebook comments:

Disqus

Disqus comments: