Una cadena de vulnerabilidades críticas, medias y bajas con un solo clic en macOS podría haber permitido a los atacantes socavar las protecciones de seguridad de la marca macOS y, en última instancia, comprometer los datos de iCloud de las víctimas.
La historia comienza con una falta de limpieza de los archivos adjuntos a los eventos del calendario. A partir de ahí, el investigador Mikko Kenttälä descubrió que podía ejecutar código remoto (RCE) en sistemas específicos y acceder a datos confidenciales. En sus experimentos, utilizó Fotos de iCloud. Ningún paso del proceso requirió la interacción del usuario, y ninguno El guardián de la manzana ni Transparencia, consentimiento y control (TCC) protecciones podrían detenerlo.
Cadena de explotación Zero-Click en macOS
El primer y muy importante error de la cadena, CVE-2022-46723, recibió una puntuación CVSS “crítica” de 9,8 sobre 10 en febrero de 2023.
No sólo era peligroso, sino que era fácil de explotar. Un atacante podría simplemente enviar a la víctima una invitación de calendario que contenga un archivo malicioso. Como macOS no comprobaba correctamente el nombre del archivo, el atacante podía nombrarlo arbitrariamente, con efectos más o menos interesantes.
Por ejemplo, podrían darle un nombre para eliminar un archivo de sistema preexistente específico. Si le daban el mismo nombre que un archivo existente y luego eliminaban el evento del calendario a través del cual lo enviaron, el sistema eliminaría tanto el archivo malicioso como el archivo original que estaba suplantando, sin importar el motivo.
Lo más peligroso era la posibilidad de que un atacante ejecutara ruta del caminonombrando su archivo adjunto de una manera que le permita escapar del entorno limitado del calendario, donde se supone que se guardan los archivos adjuntos, a otras ubicaciones del sistema.
Kenttälä utilizó este poder de escritura de archivos arbitrario para aprovechar una actualización del sistema operativo (en el momento del descubrimiento, macOS Ventura estaba a punto de ser lanzado). Primero creó un archivo que imitaba un evento de calendario repetido sugerido por Siri, ocultando alertas que activarían la ejecución de otros archivos durante una migración. Uno de estos archivos de seguimiento fue responsable de migrar los datos del calendario antiguo al nuevo sistema. Otro le permitió montar un recurso compartido de red desde Samba, el protocolo de bloque de mensajes del servidor (SMB) de código abierto, sin activar una bandera de seguridad. Otros dos archivos provocaron el inicio de una aplicación maliciosa.
Socavando los controles de seguridad nativos de Apple
La aplicación maliciosa se infiltró sin generar ninguna alarma, gracias a la omisión de la función de seguridad Gatekeeper de macOS, la que bloquea los sistemas Mac y las aplicaciones que no son de confianza. Etiquetado como CVE-2023-40344, recibió una calificación CVSS de gravedad media de 5,5 sobre 10 en enero de 2024.
Sin embargo, Gatekeeper no fue la única característica de seguridad de macOS que se vio comprometida por el ataque. Utilizando un script iniciado por la aplicación maliciosa, Kenttälä logró reemplazar el archivo de configuración asociado con iCloud Photos por un archivo malicioso. Esto redirigió Fotos a una ruta personalizada, fuera de la protección de TCC, el protocolo utilizado por macOS para garantizar que las aplicaciones no accedan de manera inapropiada a datos y recursos confidenciales. La redirección, CVE-2023-40434, con una puntuación de gravedad CVSS “baja” de 3,3, abrió la puerta al robo de fotografías injustificadas, que podrían filtrarse a servidores extranjeros con “modificaciones triviales”.
“MacOS Gatekeeper y TCC son esenciales para garantizar que solo se instale software confiable y para administrar el acceso a datos confidenciales”, dice Callie Guenther, gerente senior de investigación de amenazas cibernéticas de Critical Start. ” Sin embargo, vulnerabilidad de cero clic en macOS Calendar mostró cómo los atacantes pueden eludir estas protecciones explotando los procesos sandbox. Guenther señala, sin embargo, que macOS no es particularmente vulnerable a este tipo de ataques: “Existen vulnerabilidades similares en Windows, donde Device Guard y SmartScreen pueden evitarse utilizando técnicas como la escalada de privilegios o la explotación de vulnerabilidades del kernel. »
Por ejemplo, añade, “los atacantes utilizaron métodos de secuestro de DLL o de escape de la zona de pruebas para eludir los controles de seguridad de Windows. Ambos sistemas operativos dependen de marcos de seguridad sólidos, pero los adversarios persistentes, en particular los grupos APT, encuentran formas de eludir estas defensas. »
Apple reconoció y parchó numerosas vulnerabilidades de la cadena de exploits en varios momentos entre octubre de 2022 y septiembre de 2023.
No te pierdas las últimas noticias Podcast confidencial de lectura oscuradonde hablamos con dos profesionales de la ciberseguridad que fueron arrestados en el condado de Dallas, Iowa, y obligados a pasar la noche en la cárcel, simplemente por realizar su trabajo de pruebas de penetración. ¡Escuche ahora!