sábado, 7 de octubre de 2017

macOS High Sierra: Una pista de contraseña demasiado explícita...

La nueva versión de macOS, High Sierra, con apenas dos semanas de vida, fue lanzada con una vulnerabilidad en la utilidad de discos que muestra la contraseña de un volumen cifrado en la pista de la contraseña.


'mypassword' es realmente la contraseña. Extraída de medium.com


Apple lo ha vuelto a hacer. Esta vez afectando a volúmenes cifrados desde su utilidad de discos. Matheus Mariano, un desarrollador de software brasileño, se topó con esta ¿vulnerabilidad? cuando creaba un nuevo volumen cifrado en el nuevo sistema de ficheros APFS. La vulnerabilidad, CVE-2017-7149, es de lo más absurda: la contraseña que se especifica en la creación del volumen se muestra en la pista de contraseña, en vez de la pista de contraseña especificada.

Afecta a los Mac's con SSD's, ya que si bien hay maneras de poner APFS a discos duros tradicionales, Apple parece que no se termina de decidir y pone y quita soporte a éstos. APFS fue desarrollado con los SSD's en mente, y enfocado al cifrado, lo que es irónico vista esta vulnerabilidad... Aunque realmente no es un fallo del sistema de archivos APFS, sino de la utilidad gráfica de disco que viene con el sistema operativo. Se puede utilizar la utilidad de disco en su versión de consola, que no presenta este fallo.

Este tipo de vulnerabilidades da que pensar sobre los controles de calidad que pasa el software hoy día. Lo cierto es que es un fallo de programación tan simple que no deja lugar a elucubraciones sobre su origen: es seguramente un despiste en la programación de la interfaz gráfica. Uno puede imaginar que el programador tenía que extraer información de varias cajas de texto, entre ellas las de la contraseña y la pista de contraseña. Para no escribir varias veces casi la misma línea de código que extraería el texto de cada una de ellas, la copias varias veces y luego retocas cada una. Pero se te olvida cambiar la referencia de la pista de contraseña y la dejas apuntando a la contraseña...




Apple ya ha publicado un documento de soporte para esta vulnerabilidad, donde expone que la solucion es básicamente reformatear el volumen (previa copia de seguridad) tras haber instalado la actualización que corrige la vulnerabilidad. Esta actualizacion, llamada macOS High Sierra 10.13 Supplemental Update, además corrige la vulnerabilidad CVE-2017-7150 también relacionada con la revelación de contraseñas, que ya cubrimos en su día aquí.


Carlos Ledesma
cledesma@hispasec.com

Más información:

New macOS High Sierra vulnerability exposes the password of an encrypted APFS container
https://hackernoon.com/new-macos-high-sierra-vulnerability-exposes-the-password-of-an-encrypted-apfs-container-b4f2f5326e79

Apple Support Document HT208168
https://support.apple.com/en-us/HT208168

macOS High Sierra 10.13 Supplemental Update
https://support.apple.com/en-us/HT208165