• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Hackers pueden instalar malware en MacOS a través de una vulnerabilidad en Gatekeeper

Hackers pueden instalar malware en MacOS a través de una vulnerabilidad en Gatekeeper

27 abril, 2021 Por jortegacalvo Deja un comentario

MacOS, el sistema operativo de Apple, cuenta con una función llamada Gatekeeper , que permite que solo se ejecuten aplicaciones confiables, verificando y asegurando que el software haya sido firmado por la App Store o por un desarrollador registrado y haya sido aprobado un proceso llamado «app notarization» que escanea el software en busca de contenido malicioso. Apple ha lanzado una actualización de los sistemas operativos macOS para arreglar la vulnerabilidad de día cero, que estaba siendo explotada activamente y que permitía eludir todas las protecciones de seguridad, permitiendo así que el software no aprobado se ejecute.

«Una aplicación de prueba de concepto basada en script, sin firmar y no anotada, podría eludir de manera trivial y confiable todos los mecanismos de seguridad relevantes de macOS (requisitos de cuarentena de archivos, gatekeeper y notarization), incluso en un sistema macOS M1 completamente parcheado. Armados con tal capacidad, los autores de malware de macOS podrían (y están) volviendo a sus métodos probados para atacar e infectar a los usuarios de macOS».

Patrick Wardle en su articulo sobre esta vulnerabilidad

El ingeniero de seguridad Cedric Owens reportó a Apple la vulnerabilidad identificada como CVE-2021-30657, el pasado 25 de marzo de 2021. El nuevo fallo podría permitir a un ciberdelincuente crear una aplicación maliciosa de manera que engañaría al servicio Gatekeeper y se ejecutaría sin activar ninguna advertencia de seguridad. El truco consiste en empaquetar un script malicioso como una aplicación para que al hacer doble clic en el malware, se ejecute como una aplicación.

El articulo publicado por Cedric detalla y ejemplifica cómo se explota esta vulnerabilidad, a nivel técnico. Una lectura más que recomendada si quieres saber más sobre este fallo: https://cedowens.medium.com/macos-gatekeeper-bypass-2021-edition-5256a2955508.

«Es una aplicación en el sentido de que puede hacer doble clic en ella y macOS la ve como una aplicación cuando hace clic con el botón derecho -> Obtener información sobre la carga útil». «Sin embargo, también es un script de shell y Gatekeeper no comprueba los scripts incluso si el atributo de cuarentena está presente».

Publica Cedric Owens

Según publica Jamf, una firma de seguridad para enfocado en el entorno Apple, el ciberdelincuente detrás del malware Shlayer ha estado abusando de esta vulnerabilidad de bypass de Gatekeeper desde el 9 de enero de 2021. Este ataque ha sido distribuido a través de una técnica llamada envenenamiento de motor de búsqueda o spamdexing, Shlayer representa casi el 30% de todas las detecciones en el plataforma macOS, con uno de cada diez sistemas que encuentra el adware al menos una vez, según las últimas estadísticas de Kaspersky.

El ataque funciona manipulando los resultados del motor de búsqueda para mostrar enlaces maliciosos que, cuando se hace clic en ellos, redirigen a los usuarios a una página web que les pide que descarguen una actualización de una aplicación aparentemente benigna para software desactualizado. Es preocupante que este esquema de infección pueda aprovecharse para ofrecer amenazas mas avanzadas, como software de vigilancia y ransomware.

Estas dos circunstancias unidas, provocan que el usuario ejecute una aplicación creyendo que está actualizando y que el sistema de seguridad de Apple no muestre ningun aviso al respecto, ejecutandose como si fuese software legitimo

Desde Hispasec, recomendamos actualizar de manera urgente, la última actualización del sistema operativo macOS de Big Sur 11.3, ya está parcheada.

Más información:

macOS Gatekeeper Bypass (Cedric Owens) https://cedowens.medium.com/macos-gatekeeper-bypass-2021-edition-5256a2955508

Cedric Owens https://twitter.com/cedowens

Shlayer malware abusing Gatekeeper bypass on macOS https://www.jamf.com/blog/shlayer-malware-abusing-gatekeeper-bypass-on-macos/

OSX/Shlayer: New Mac malware comes out of its shell https://www.intego.com/mac-security-blog/osxshlayer-new-mac-malware-comes-out-of-its-shell/

Shlayer Trojan attacks one in ten macOS users https://securelist.com/shlayer-for-macos/95724/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking con buscadores

Open Source INTelligence (OSINT)

Publicado en: Vulnerabilidades Etiquetado como: gatekeeper, malware, masoc, Shlayer

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...