Apple ha gastado años reforzando macOS con nuevas funciones de seguridad para dificultar la entrada de malware. Pero una vulnerabilidad recién descubierta rompió la mayoría de las protecciones de seguridad más nuevas de macOS con un doble clic en una aplicación maliciosa, una hazaña que no debe permitirse bajo las normas de Apple. mirar.
Peor aún, la evidencia muestra que una familia notoria de malware para Mac ya ha estado explotando esta vulnerabilidad durante meses antes de que Apple la parcheara posteriormente esta semana.
A lo largo de los años, las Mac se han adaptado para detectar los tipos más comunes de malware al poner obstáculos técnicos en su camino. macOS marca las aplicaciones potencialmente maliciosas que se hacen pasar por documentos que se han descargado de Internet. Y si macOS no ha revisado la aplicación, un proceso que Apple llama notarización, o si no reconoce a su desarrollador, la aplicación no podrá ejecutarse sin la intervención del usuario.
Pero investigador de seguridad Cedric Owens dijo que el error que encontró a mediados de marzo pasa por alto esos controles y permite que se ejecute una aplicación maliciosa.
Owens le dijo a TechCrunch que el error le permitió crear una aplicación potencialmente maliciosa para que pareciera un documento inofensivo, que cuando se abre evita las defensas integradas de macOS cuando se abre.
“Todo lo que el usuario tendría que hacer es hacer doble clic, y no se generan avisos ni avisos de macOS”, dijo a TechCrunch. Owens creó una aplicación de prueba de concepto disfrazada de documento inofensivo que aprovecha el error para iniciar la aplicación Calculadora, una forma de demostrar que el error funciona sin dejar caer malware. Pero un atacante malintencionado podría aprovechar esta vulnerabilidad para acceder de forma remota a los datos confidenciales de un usuario simplemente engañando a la víctima para que abra un documento falsificado, explicó.
La aplicación de prueba de concepto disfrazada de documento inofensivo que se ejecuta en una máquina macOS sin parches. (Imagen: suministrada)
Temiendo la posibilidad de que los atacantes abusen de esta vulnerabilidad, Owens informó del error a Apple.
Apple le dijo a TechCrunch que solucionó el error en macOS 11.3. Apple también parcheó versiones anteriores de macOS para evitar abusos y envió reglas actualizadas a XProtect, el motor anti-malware integrado de macOS, para evitar que el malware aproveche la vulnerabilidad.
Owens preguntó al investigador de seguridad de Mac Patrick Wardle para investigar cómo y por qué funciona el error. En una publicación de blog técnica de hoy, Wardle explicó que la vulnerabilidad se desencadena debido a un error lógico en el código subyacente de macOS. El error significaba que macOS clasificaba erróneamente ciertos paquetes de aplicaciones y se saltaba los controles de seguridad, lo que permitía que la aplicación de prueba de concepto de Owens se ejecutara sin obstáculos.
En términos simples, las aplicaciones de macOS no son un solo archivo, sino un paquete de archivos diferentes que la aplicación necesita para funcionar, incluido un archivo de lista de propiedades que le dice a la aplicación dónde se encuentran los archivos de los que depende. Pero Owens descubrió que sacar este archivo de propiedades y compilar el paquete con una estructura particular podría engañar a macOS para que abra el paquete y ejecute el código en su interior sin generar ninguna advertencia.
Wardle describió el error como que hace que las características de seguridad de macOS sean “totalmente discutibles”. Confirmó que las actualizaciones de seguridad de Apple han solucionado el error. “La actualización ahora dará como resultado la clasificación correcta de las aplicaciones como paquetes y garantizará que las aplicaciones que no sean de confianza y no notificadas se bloqueen (una vez más) y, por lo tanto, el usuario esté protegido”, dijo a TechCrunch.
Con conocimiento de cómo funciona el error, Wardle le pidió a la compañía de seguridad de Mac Jamf que averiguara si había alguna evidencia de que el error había sido explotado antes del descubrimiento de Owens. Plomo de detección de atascos Jaron Bradley confirmó que una muestra de la familia de malware Shlayer que explotaba el error fue capturada a principios de enero, varios meses antes del descubrimiento de Owens. Jamf también publicó una publicación de blog técnica sobre el malware.
“El malware que descubrimos con esta técnica es una versión actualizada de Shlayer, una familia de malware que se descubrió por primera vez en 2018. Se sabe que Shlayer es una de las piezas de malware más abundantes en macOS, por lo que hemos desarrollado una variedad de detecciones por sus muchas variantes, y seguimos de cerca su evolución ”, dijo Bradley a TechCrunch. “Una de nuestras detecciones nos alertó sobre esta nueva variante y, tras una inspección más cercana, descubrimos su uso de esta derivación para permitir su instalación sin un aviso para el usuario final. Un análisis más detallado nos lleva a creer que los desarrolladores del malware descubrieron el día cero y ajustaron su malware para usarlo a principios de 2021 “.
Shlayer es un adware que intercepta el tráfico web cifrado, incluidos los sitios habilitados para HTTPS, e inyecta sus propios anuncios, generando dinero publicitario fraudulento para los operadores.
“A menudo se instala engañando a los usuarios para que descarguen instaladores o actualizadores de aplicaciones falsos”, dijo Bradley. “La versión de Shlayer que usa esta técnica lo hace para evadir el escaneo de malware incorporado y para iniciarse sin mensajes adicionales ‘¿Está seguro?’ Para el usuario”, dijo.
“Lo más interesante de esta variante es que el autor tomó una versión antigua y la modificó ligeramente para evitar las funciones de seguridad en macOS”, dijo Bradley.
Wardle también ha publicado un script de Python que ayudará a los usuarios a detectar cualquier explotación pasada.
No es la primera vez que Shlayer ha eludido las defensas de macOS. El año pasado, Wardle, trabajando con el investigador de seguridad Peter Dantini, encontró una muestra de Shlayer que había sido legalizada accidentalmente por Apple, un proceso en el que los desarrolladores envían sus aplicaciones a Apple para controles de seguridad para que las aplicaciones puedan ejecutarse en millones de Mac sin obstáculos.