Las actualizaciones de software de Apple esta semana para múltiples vulnerabilidades en su sistema operativo macOS Monterey, iOS y iPadOS sirven como la última indicación del creciente interés de los investigadores de seguridad y los actores de amenazas en sus tecnologías.
Las fallas incluyeron una en macOS que permite a los atacantes eludir un mecanismo de seguridad central del sistema operativo, dos que eran de día cero en el momento en que se revelaron y varias que permitieron la ejecución de código arbitrario con privilegios de nivel de kernel en dispositivos vulnerables.
Apple lanzó el miércoles macOS Monterrey 12.2, iOS 15.3 y iPadOS 15.3 con correcciones que abordan un total de 13 vulnerabilidades en macOS y 10 en iOS y iPadOS. No todos los errores eran exclusivos de cada entorno de sistema operativo. De hecho, varios de los mismos errores afectaron tanto a macOS como a las tecnologías del sistema operativo móvil de Apple.
Entre los defectos más críticos que Apple arregló esta semana estaba CVE-2022-22583. La falla estaba vinculada a un problema de permisos en varias versiones de macOS y básicamente les dio a los atacantes, que ya tenían acceso de root en un sistema, una forma de eludir el mecanismo de Protección de integridad del sistema (SIP) de la compañía.
Apple lanzó SIP en 2015 como un mecanismo de prevención de malware y mejora de la seguridad general. Funciona prohibiendo a los atacantes, incluso aquellos con acceso de root, hacer cosas como cargar controladores del kernel y escribir en ciertos directorios, dice Shlomi Levin, CTO de Perception Point, que informó el problema a Apple.
“Mientras que la mayoría de los sistemas operativos permiten a los usuarios raíz instalar servicios y alterar los sistemas, MacOS sigue lo que se llama un 'concepto de separación de autoridad' en el que los privilegios se confían al servicio SIP”, dice. "Esta vulnerabilidad descubierta permite a los atacantes eludir el límite SIP adicional".
CVE-2022-22583 es la segunda vulnerabilidad de omisión de SIP informada en los últimos meses. El pasado octubre, investigadores de Microsoft descubrió una vulnerabilidad (CVE-2021-30892) en macOS que llamaron "shrootless". La vulnerabilidad básicamente les dio a los atacantes una forma de usar un paquete firmado por Apple para engañar a SIP para que permitiera la ejecución de scripts maliciosos.
Fue la investigación de Perception Point de la falla shrtootless lo que lo llevó a la nueva vulnerabilidad.
“Básicamente, explotar esta vulnerabilidad es como intercambiar algo justo debajo de las narices”, señala Levin. “SIP puede instalar software y usa ciertos archivos para hacerlo. En este caso, la vulnerabilidad ofrece la posibilidad de intercambiar un determinado archivo de confianza con uno malicioso”.
Apple dijo que implementó un mecanismo de validación mejorado en macOS Monterey 12.2 para abordar el problema. La compañía ha acreditado a otros dos investigadores, uno de Trend Micro y otro individuo anónimo, por informar la falla a la compañía.
Mientras tanto, una de las dos fallas de día cero (CVE-2022-22587) que Apple arregló esta semana involucró a IOMobileFrameBuffer, una extensión del kernel relacionada con el búfer de cuadros de un dispositivo. El error de corrupción de la memoria permite a los atacantes ejecutar código arbitrario en el nivel del kernel y es probable que ya esté siendo explotado activamente en la naturaleza, dijo Apple. El error afecta a macOS Monterey, iPhone 6 y versiones posteriores, todos los modelos de iPad Pro y varios otros dispositivos móviles de Apple.
“CVE-2022-22587 apunta al kernel de macOS, y comprometerlo puede otorgar privilegios de root al atacante”, dice Levin. “Sin embargo, SIP entra en juego exactamente para este tipo de explotación”.
La falla es una de varias vulnerabilidades graves que los investigadores han descubierto recientemente en IOMobileFrameBuffer. Otros ejemplos incluyen CVE-2021-30883, un error de ejecución de código de día cero que Apple corrigió en octubre pasado en medio de una actividad de explotación activa, y CVE-2021-30807, que Apple arregló el pasado mes de julio.
Una vulnerabilidad en Safari WebKit Storage (CVE-2022-22594) para macOS e iOS fue otro problema que despertó cierta preocupación porque la falla se conoció públicamente durante varios días antes de la disponibilidad del parche esta semana. La falla se deriva de lo que Apple describió como un problema de origen cruzado en la API de IndexDB que básicamente permite a los operadores de sitios web una forma de rastrear el historial de navegación de un usuario.
“CVE-2022-22594 ayuda a rastrear/descubrir qué sitios web ha visitado un usuario”, dice Levin. "Este es un gran problema de privacidad, pero no permite que el atacante tome el control de la máquina de la víctima".
En total, seis de las fallas de macOS que Apple parchó esta semana permitieron la ejecución de código arbitrario, algunas a nivel del kernel.
Encender el calor
Las actualizaciones de seguridad en las últimas versiones del sistema operativo son las primeras de Apple para 2022 y siguen un año en el que los investigadores informaron numerosas vulnerabilidades importantes y muestras de malware que afectan a macOS e iOS.
Estos incluyen una falla de ejecución de código arbitrario de día cero (CVE-2021-30860) en iOS y macOS que Apple parchó en septiembre de 2021, que se usó para entregar el notorio Spyware Pegasus en iPhone. Otro ejemplo es CVE-2021-30657, una falla lógica en macOS Big Sur 11.3 que permitió a los atacantes eludir los mecanismos de seguridad de Apple, como Gatekeeper y File Quarantine, para implementar malware llamado Shlayer en sistemas vulnerables. Otras vulnerabilidades importantes del año pasado incluyeron CVE-2021-30713, un día cero que permitió a los atacantes eludir el marco de control y consentimiento de transparencia (TCC) de Apple y obtener acceso completo al disco y permisos de grabación de pantalla, y CVE-2021-30892, o "shrootless", una falla que Microsoft descubrió que permite a los atacantes eludir la función de Protección de integridad del sistema (SIP) de Apple.
El relativo éxito que los investigadores han tenido al hurgar en las tecnologías de Apple, especialmente aquellas diseñadas explícitamente para mejorar la seguridad como Gatekeeper, TCC y SIP, es una razón para que las empresas comiencen a prestar atención a los entornos Mac e iOS, dicen los expertos en seguridad.
“Todos los sistemas operativos sufren vulnerabilidades y MacOS no es una excepción”, dice Mike Parkin, ingeniero de Vulcan Cyber. “Windows es el gran perro en lo que respecta a los usuarios implementados, por lo que históricamente han sido el objetivo principal. Pero Apple también es un jugador importante, y los atacantes están prestando más atención a los productos de Apple como objetivos potenciales”.
Un indicio fue el colección de malware nuevo y sofisticado muestras que surgieron el año pasado dirigidas a tecnologías de Apple y vulnerabilidades en ellas
Durante años, los usuarios de Mac han tenido la impresión de que sus computadoras son inmunes a los ataques cibernéticos que se aprovechan
en máquinas Windows. dice Levin—. El surgimiento de la Mac en el entorno empresarial y su creciente uso como dispositivo comercial ha llamado la atención de los ciberdelincuentes, señala.
“Esto ha estimulado la creciente investigación invertida en macOS, ya que sigue siendo un objetivo válido para los atacantes de hoy”, señala Levin. Al mismo tiempo, “desde una perspectiva de seguridad, Apple ha reforzado su seguridad, y SIP es un gran ejemplo de esto como una política de separación innovadora que no existe en los otros sistemas operativos”.
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
- CriptoHawk. Radar de altcoins. Prueba gratis.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/more-security-flaws-found-in-apple-s-OS-technologies
