El CERT de Entelgy Innotec Security advierte sobre la posible explotación activa de una vulnerabilidad sin parche en las características de seguridad de macOS Gatekeeper de Apple. Este producto está integrado en Apple macOS imponiendo la firma del código y verificando las aplicaciones descargadas antes de permitir que se ejecuten, lo que ayuda a los usuarios a proteger sus sistemas contra malware y otros programas maliciosos.
En concreto, se han descubierto cuatro muestras de malware para macOS que aprovechan la vulnerabilidad de omisión de GateKeeper para ejecutar código no confiable en macOS sin mostrar a los usuarios ninguna advertencia o pedir su permiso explícito.
Por el momento, el malware denominado OSX/Linker parece estar en desarrollo y, a pesar de que las muestras aprovechan el defecto de desvío de Gatekeeper no parcheado, no descargan ninguna aplicación maliciosa del servidor del atacante. Sin embargo, dado que la muestra de malware se vincula a un servidor remoto desde donde descarga una aplicación que no es de confianza, los atacantes también pueden distribuir la misma muestra al objetivo real, simplemente reemplazando la aplicación de muestra definida con una aplicación de malware en su servidor. Eso significa que, si se descarga una aplicación de Internet, GateKeeper solo permitirá que se ejecute sin ninguna advertencia si se ha firmado con un certificado válido emitido por Apple, de lo contrario le solicitará que permita o deniegue la ejecución. No obstante, Gatekeeper está diseñado para tratar las unidades externas (USB o HDD) y los recursos compartidos de red como "ubicaciones seguras" desde donde los usuarios pueden ejecutar cualquier aplicación sin involucrar las verificaciones y avisos de GateKeeper.
Hasta la fecha, no se ha asignado ningún CVE que indique la criticidad exacta de esta vulnerabilidad.
Recursos afectados:
Por el momento se desconocen las versiones exactas afectadas por esta vulnerabilidad, aunque hay que tener en cuenta que macOS 10.15 Catalina está más protegido contra un posible ataque de este tipo, ya que el sistema sólo permitirá ejecutar aplicaciones firmadas y, a diferencia de sistemas anteriores, aquellas que hayan sido autorizadas.
Recomendaciones:
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
A día de hoy Apple no ha publicado ningún tipo de parche o medida de mitigación para esta vulnerabilidad. En cualquier caso las investigaciones publicadas recomiendan a los administradores de red bloquear las comunicaciones de NFS con direcciones IP externas y, para los usuarios domésticos, siempre es importante no abrir archivos adjuntos de correo electrónico de una fuente desconocida, sospechosa o poco confiable.
Referencias:
