Los investigadores de seguridad cibernética han descubierto una nueva vulnerabilidad en macOS que permitió a los actores de amenazas eludir por completo las soluciones de seguridad nativas y ejecutar una aplicación sin firmar ni notarizar sin mostrar avisos de seguridad.
Anunciar la noticia en una entrada de blog (se abre en una pestaña nueva)los investigadores de Jamf Threat Labs dijeron que detectaron la falla en macOS Archive Utility, la aplicación de archivo nativa de macOS, similar a WinRAR y otras aplicaciones de archivo.
Abusar de la falla encontrada en esta aplicación permite a los actores de amenazas eludir Gatekeeper y todos los demás controles de seguridad.
Carpetas en cuarentena
Al explicar la falla, rastreada como CVE-2022-32910, Jamf dijo que gira en torno a cómo macOS maneja la desarchivación de archivos descargados de Internet.
Cuando un usuario de Mac descarga un archivo, recibirá un título de atributo extendido com.apple.quarantine, lo que indica al sistema operativo que se recibió desde una ubicación remota y debe analizarse. Todo lo que se extraiga también recibirá el mismo atributo de cuarentena. Bueno, casi todo. En algunos casos, Archive Utility creará carpetas adicionales para evitar confusiones:
“Cuando se trata de paquetes de aplicaciones, a Gatekeeper solo le importa si el directorio de la aplicación en sí tiene un conjunto de atributos de cuarentena e ignora los archivos recursivos dentro del paquete de la aplicación. Por lo tanto, podemos pasar por alto a Gatekeeper asegurándonos de que nuestra carpeta que no está en cuarentena sea una aplicación”, explicaron los investigadores.
“Como se mencionó, el usuario controla el nombre de la carpeta que contiene nuestros archivos no archivados porque Archive Utility crea esta carpeta en función del nombre del archivo sin la extensión. Por lo tanto, podemos nombrar nuestro archivo como test.app.aar para que cuando se desarchive, tenga un nombre de carpeta titulado test.app. Dentro de esa aplicación habrá un paquete de aplicaciones esperado que contenga el ejecutable”.
Para que se aproveche la falla, el nombre del archivo debe incluir una extensión .app, debe haber al menos dos archivos o carpetas en la raíz del directorio de destino que se está archivando, ya que esto activa el cambio de nombre automático del directorio temporal, y solo los archivos y carpetas dentro de la aplicación deben estar archivados, excluyendo el directorio test.app.
Jamf dice que después de revelarlo a Apple, la compañía solucionó el problema en julio de 2022, por lo que se recomienda a los usuarios que actualicen lo antes posible.