{"id":92518,"date":"2022-08-13T08:07:13","date_gmt":"2022-08-13T08:07:13","guid":{"rendered":"https:\/\/magazineoffice.com\/el-instalador-de-zoom-permitio-que-un-investigador-se-abriera-camino-para-acceder-a-la-raiz-en-macos\/"},"modified":"2022-08-13T08:07:15","modified_gmt":"2022-08-13T08:07:15","slug":"el-instalador-de-zoom-permitio-que-un-investigador-se-abriera-camino-para-acceder-a-la-raiz-en-macos","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/el-instalador-de-zoom-permitio-que-un-investigador-se-abriera-camino-para-acceder-a-la-raiz-en-macos\/","title":{"rendered":"El instalador de Zoom permiti\u00f3 que un investigador se abriera camino para acceder a la ra\u00edz en macOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p id=\"ojeZAz\">Un investigador de seguridad encontr\u00f3 una forma en que un atacante podr\u00eda aprovechar la versi\u00f3n macOS de Zoom para obtener acceso a todo el sistema operativo.<\/p>\n<p id=\"itQD0a\">Los detalles del exploit se dieron a conocer en una presentaci\u00f3n realizada por el especialista en seguridad de Mac Patrick Wardle en la conferencia de hacking Def Con en Las Vegas el viernes.  Zoom ya ha solucionado algunos de los errores involucrados, pero el investigador tambi\u00e9n present\u00f3 una vulnerabilidad sin parches que todav\u00eda afecta a los sistemas ahora.<\/p>\n<p id=\"JZA844\">El exploit funciona apuntando al instalador de la aplicaci\u00f3n Zoom, que debe ejecutarse con permisos de usuario especiales para instalar o eliminar la aplicaci\u00f3n Zoom principal de una computadora.  Aunque el instalador requiere que el usuario ingrese su contrase\u00f1a al agregar la aplicaci\u00f3n al sistema por primera vez, Wardle descubri\u00f3 que una funci\u00f3n de actualizaci\u00f3n autom\u00e1tica se ejecutaba continuamente en segundo plano con privilegios de superusuario.<\/p>\n<div class=\"c-float-right\">\n<aside id=\"LKSOeo\"><q>Un ataque de escalada de privilegios<\/q><\/aside>\n<\/div>\n<p id=\"GYeZho\">Cuando Zoom emit\u00eda una actualizaci\u00f3n, la funci\u00f3n de actualizaci\u00f3n instalar\u00eda el nuevo paquete despu\u00e9s de comprobar que Zoom lo hab\u00eda firmado criptogr\u00e1ficamente.  Pero un error en la forma en que se implement\u00f3 el m\u00e9todo de verificaci\u00f3n signific\u00f3 que dar al actualizador cualquier archivo con el mismo nombre que el certificado de firma de Zoom ser\u00eda suficiente para pasar la prueba, por lo que un atacante podr\u00eda sustituir cualquier tipo de programa de malware y hacer que lo ejecute el actualizador con privilegios elevados.<\/p>\n<p id=\"jkTCEx\">El resultado es <a rel=\"nofollow noopener\" target=\"_blank\" href=\"https:\/\/en.wikipedia.org\/wiki\/Privilege_escalation\">un ataque de escalada de privilegios<\/a>, que supone que un atacante ya obtuvo acceso inicial al sistema de destino y luego emplea un exploit para obtener un mayor nivel de acceso.  En este caso, el atacante comienza con una cuenta de usuario restringida pero escala al tipo de usuario m\u00e1s poderoso, conocido como \u00absuperusuario\u00bb o \u00abra\u00edz\u00bb, lo que le permite agregar, eliminar o modificar cualquier archivo en la m\u00e1quina.<\/p>\n<p id=\"mtO7V7\">Wardle es el fundador de Objective-See Foundation, una organizaci\u00f3n sin fines de lucro que crea herramientas de seguridad de c\u00f3digo abierto para macOS.  Anteriormente, en la conferencia de seguridad cibern\u00e9tica Black Hat celebrada la misma semana que Def Con, Wardle <a rel=\"nofollow noopener\" target=\"_blank\" href=\"https:\/\/www.theverge.com\/2022\/8\/11\/23301130\/patrick-wardle-mac-code-corporations-stealing-black-hat#comments\">detall\u00f3 el uso no autorizado de algoritmos extra\u00eddos de su software de seguridad de c\u00f3digo abierto por parte de empresas con fines de lucro<\/a>.<\/p>\n<div class=\"c-float-right\">\n<aside id=\"pF63n4\"><q>\u201cFue realmente frustrante esperar&#8230; seis, siete, ocho meses\u201d<\/q><\/aside>\n<\/div>\n<p id=\"AoyI9q\">Siguiendo los protocolos de divulgaci\u00f3n responsable, Wardle inform\u00f3 a Zoom sobre la vulnerabilidad en diciembre del a\u00f1o pasado.  Para su frustraci\u00f3n, dice que una soluci\u00f3n inicial de Zoom conten\u00eda otro error que significaba que la vulnerabilidad a\u00fan se pod\u00eda explotar de una manera un poco m\u00e1s indirecta, por lo que revel\u00f3 este segundo error a Zoom y esper\u00f3 ocho meses antes de publicar la investigaci\u00f3n.<\/p>\n<p id=\"Ws6rL3\">\u201cPara m\u00ed, eso fue un poco problem\u00e1tico porque no solo inform\u00e9 los errores a Zoom, tambi\u00e9n inform\u00e9 errores y c\u00f3mo corregir el c\u00f3digo\u201d, dijo Wardle. <em>el borde <\/em>en una llamada antes de la charla.  \u201cAs\u00ed que fue realmente frustrante esperar, qu\u00e9, seis, siete, ocho meses, sabiendo que todas las versiones Mac de Zoom estaban en las computadoras de los usuarios vulnerables\u201d.<\/p>\n<p id=\"jxY6WA\">Unas semanas antes del evento Def Con, Wardle dice que Zoom emiti\u00f3 un parche que solucion\u00f3 los errores que hab\u00eda descubierto inicialmente.  Pero en un an\u00e1lisis m\u00e1s detallado, otro peque\u00f1o error significaba que el error a\u00fan era explotable.<\/p>\n<p id=\"s7INeb\">En la nueva versi\u00f3n del instalador de actualizaciones, el paquete que se va a instalar primero se mueve a un directorio propiedad del usuario \u00abra\u00edz\u00bb.  En general, esto significa que ning\u00fan usuario que no tenga permiso de root puede agregar, eliminar o modificar archivos en este directorio.  Pero debido a una sutileza de los sistemas Unix (de los cuales macOS es uno), cuando un archivo existente se mueve de otra ubicaci\u00f3n al directorio ra\u00edz, conserva los mismos permisos de lectura y escritura que ten\u00eda anteriormente.  Entonces, en este caso, a\u00fan puede ser modificado por un usuario normal.  Y debido a que se puede modificar, un usuario malintencionado a\u00fan puede intercambiar el contenido de ese archivo con un archivo de su elecci\u00f3n y usarlo para convertirse en root.<\/p>\n<p id=\"4bcjMo\">Si bien este error est\u00e1 actualmente en vivo en Zoom, Wardle dice que es muy f\u00e1cil de solucionar y que espera que hablar de ello p\u00fablicamente \u00abengrasar\u00e1 las ruedas\u00bb para que la compa\u00f1\u00eda se ocupe de \u00e9l m\u00e1s temprano que tarde.<\/p>\n<p id=\"zeF4Ni\">En un comunicado a <em>el borde<\/em>Matt Nagel, l\u00edder de relaciones p\u00fablicas de seguridad y privacidad de Zoom, dijo: \u00abSomos conscientes de la vulnerabilidad recientemente informada en el actualizador autom\u00e1tico de Zoom para macOS y estamos trabajando diligentemente para solucionarlo\u00bb.<\/p>\n<p id=\"z0Umor\"><em><strong>Actualizaci\u00f3n 12 de agosto, 11:09 p. m. ET: <\/strong><\/em><em>Art\u00edculo actualizado con respuesta de Zoom.<\/em><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/www.theverge.com\/2022\/8\/12\/23303411\/zoom-defcon-root-access-privilege-escalation-hack-patrick-wardle\" target=\"_blank\" rel=\"noopener\">Source link-37 <\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un investigador de seguridad encontr\u00f3 una forma en que un atacante podr\u00eda aprovechar la versi\u00f3n macOS de Zoom para obtener acceso a todo el sistema operativo. Los detalles del exploit&hellip;<\/p>\n","protected":false},"author":1,"featured_media":92519,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[34144,7920,2372,34143,17377,25211,107,18015,30097,23121],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/92518"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=92518"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/92518\/revisions"}],"predecessor-version":[{"id":92520,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/92518\/revisions\/92520"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/92519"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=92518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=92518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=92518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}