iTunes es un reproductor multimedia desarrollado por Apple Inc. que permite a los usuarios comprar, organizar y reproducir música y vídeos digitales.
Lanzado en 2001, revolucionó la forma en que las personas acceden y administran sus colecciones de medios con características como “iTunes Store” para comprar contenido y sincronizar con dispositivos más allá del iPod.
Recientemente, el investigador de ciberseguridad mhans (también conocido como “mbog14”) identificó una falla de escalada de privilegios en iTunes 0-day (rastreada como “CVE-2024-44193”) que permite a los actores de amenazas piratear Windows.
Escalada de privilegios de día cero de iTunes
CVE-2024-44193 representa una vulnerabilidad crítica de escalada de privilegios locales (LPE) descubierta en la versión '12.13.2.3' de iTunes.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Esta falla de día cero afecta al “Apple Device Discovery Service” (AppleMobileDeviceService.exe) ubicado en “C:\Program Files\Common Files\Apple\Mobile” Device Support.
Apple solucionó esta vulnerabilidad el 12 de septiembre de 2024. La vulnerabilidad se debe a una “gestión inadecuada de permisos” en la ruta del directorio “C: ProgramDataApple*”.
Este parche permite a los miembros del grupo local “Usuarios” de Windows escribir archivos arbitrarios.
Este exploit aprovecha una combinación de bloqueos oportunistas (“oplocks”) y “puntos de unión NTFS” para lograr una escalada de privilegios.
Si un usuario sin privilegios activa el reinicio del servicio, el servicio puede explotarse con un mecanismo de eliminación de archivos vulnerable que hace que el servicio se ejecute con privilegios del SISTEMA y elimine archivos en “C:\ProgramData\Apple\Lockdown*”.
Los actores de amenazas pueden primero crear eliminaciones avanzadas de “carpetas/archivos” utilizando herramientas como “SetOpLock” para la manipulación de procesos y “FolderContentsDeleteToFolderDelete” para la explotación de la unión NTFS.
Este proceso implica configurar un “oplock” y crear una estructura de carpetas para pausar la ejecución del servicio. Esto facilita mover archivos y crear uniones NTFS a ubicaciones de destino.
Esto se puede utilizar para ejecutar código arbitrario con “privilegios de nivel de SISTEMA”, elevando efectivamente a un usuario estándar a “acceso completo de administrador del sistema”.
Las uniones NTFS en el sistema operativo Windows actúan como enlaces de directorio (similares a los “enlaces simbólicos” o “enlaces simbólicos” en Linux), lo que permite redirigir las carpetas a diferentes ubicaciones.
Esta función está disponible a través del servicio de soporte para dispositivos móviles de Apple.
Un atacante puede usar un comando de PowerShell ('New-Item -Typejunction') o el conjunto de herramientas 'FilesystemEoPs' de ZDI ('FolderContentsDeleteToFolderDelete.exe') para crear una unión que apunte a una carpeta de destino en el escritorio.
Operación CreateFile (fuente: GitHub)
Cuando el servicio se reinicia a través de la GUI de Windows (Aplicaciones → Aplicaciones instaladas → Soporte para dispositivos móviles de Apple → Cambiar → Reparar), se ejecutará como SISTEMA con privilegios “DeleteOnClose”.
Según los investigadores, esta ejecución elevada sigue el cruce y le permite eliminar archivos o carpetas arbitrarios en todo el sistema.
El proceso de explotación implica varios pasos técnicos.
Pausa un proceso configurando un oplock (un “bloqueo oportunista”). Implemente la técnica de reversión de MSI utilizando 'FolderOrFileDeleteToSystem.exe'. Administre cuidadosamente la longitud de las rutas de los archivos (se requieren constantes de acortamiento como 'C:\d' o 'e.txt' para garantizar el éxito).
La repetición de un servicio después de un cruce se combina con permisos a nivel de SISTEMA, lo que crea una vulnerabilidad de seguridad grave.
Esto permite a los usuarios sin privilegios “eliminar archivos del sistema” o “ejecutar código a nivel del sistema” a través de una secuencia de eventos dirigida con precisión.
Estrategias para proteger su sitio web y API de ataques de malware => Seminario web gratuito
iTunes 0-day Privilege Escalation Flaw Let Attackers Hack Windows
