9 jul 2019

Fallo de seguridad en Gatekeeper en MacOS X 10.14.5 Mojave

Gatekeeper es una herramienta de seguridad propia de MacOS, que forma parte de MacOS X desde el 2012. Su función es verificar la autenticidad y la seguridad de las aplicaciones que son descargadas en los equipos Mac. Esta herramienta previene la instalación aplicaciones sin que el usuario lo permita, y es principalmente importante cuando descargamos aplicaciones desde otros lugares que no sea el Mac App Store, pues Gatekeeper es el encargado de detectar si la aplicación que se desea instalar está firmada por Apple. De no ser así, impedirá que la misma se ejecute automáticamente, mostrando un mensaje de alerta en pantalla para que el usuario confirme o niegue la ejecución de esta.


Img 1 Gatekeeper (imagen obtenida de Apple.com)

El investigador de seguridad Filippo Cavallarin ha descubierto una vulnerabilidad de Gatekeeper en MacOS X Mojave 10.14.5. El fallo se produce porque la herramienta considera a los dispositivos externos y a las unidades de red compartidas como sitios seguros, con lo que permite que cualquier aplicación que se encuentre dentro de una de estas ubicaciones, se ejecute sin necesidad de verificar que la aplicación este firmada por Apple.

Este fallo combinado con dos características propias de MacOS X (explicadas posteriormente), permiten la ejecución exitosa de un malware:

La primera característica legitima es el auto montaje (autofs -Automatically Mounting Network File Shares-), esta característica permite a un usuario el montaje automático de una red compartida, accediendo desde una ruta especial, que en este caso es cualquier ruta que comience con “/net”. Como ejemplo podria ser: 
  • ls /net/webdelatacante.com/carpetainfectada/
Lo que permite que el sistema operativo lea el contenido de “carpetainfectada” en el host remoto, que en nuestro caso es “webdelatacante.com”, mediante el protocolo NFS (Network File System).

La segunda característica legitima de MacOS X, es que permite que los archivos de tipo .zip, puedan contener enlaces simbólicos que apunten hacia una ubicación arbitraria. Esta ubicación arbitraria puede ser un punto de auto montaje. MacOS es el responsable de la descompresión de los archivos .zip, y este no realiza ninguna comprobación en los enlaces simbólicos antes de que sean creados.
Esta vulnerabilidad permitirá que un potencial atacante pueda crear un archivo .zip malicioso, como Gatekeeper considera que se encuentra en un entorno que es considerado seguro, lo ejecutar sin solicitar ningún permiso del usuario y podría comprometer el equipo.



Artículo cortesía de Christian Flores
Consultor de ciberseguridad

No hay comentarios:

Publicar un comentario