Las funciones de seguridad de macOS Gatekeeper se pueden omitir para ejecutar código malicioso

Los investigadores de seguridad de la Unidad 42 de Palo Alto Networks han descubierto una vulnerabilidad crítica en el mecanismo de seguridad Gatekeeper de macOS.

Este descubrimiento revela que ciertas aplicaciones de terceros y algunas herramientas de línea de comandos nativas de Apple pueden eludir inadvertidamente Gatekeeper y permitir que código malicioso se ejecute sin control en sistemas macOS Ta.

Gatekeeper, una característica de seguridad clave en macOS, está diseñada para garantizar que solo se ejecute software confiable en su sistema. Esto se logra validando las aplicaciones descargadas desde fuera de la App Store de Apple para garantizar que provienen de desarrolladores verificados y que no han sido manipuladas.

Sin embargo, las investigaciones han demostrado que esta protección se puede eludir debido a inconsistencias en la forma en que algunas aplicaciones manejan un atributo de metadatos particular llamado “com.apple.quarantine”.

Cómo elegir la solución SIEM administrada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)

Los atributos de cuarentena se agregan automáticamente a los archivos recién descargados en macOS. Cuando un usuario intenta ejecutar un archivo con este atributo, se activa Gatekeeper para realizar una verificación de seguridad.

Sin embargo, los investigadores descubrieron que ciertas utilidades de terceros relacionadas con el archivado, la virtualización y algunas de las herramientas de línea de comandos de Apple no aplican ni propagan adecuadamente este atributo.

Las aplicaciones vulnerables identificadas incluyeron herramientas de archivo populares como iZip, Archiver, BetterZip, WinRAR y 7z Utility. Estas aplicaciones no lograron mantener los atributos de cuarentena al extraer archivos de varios formatos de archivo como ZIP, TAR y 7Z.

Además, se descubrió que VMware Fusion eliminaba los atributos de cuarentena al copiar archivos desde la máquina host a la máquina virtual macOS invitada.

Quizás lo más sorprendente es que algunas de las herramientas de línea de comandos nativas de Apple (curl, SCP, Unzip, tar, etc.) no imponen atributos de cuarentena en los archivos descargados o extraídos. Este descuido en las propias utilidades de Apple pone de relieve la complejidad de mantener un ecosistema de seguridad sólido.

Las implicaciones de estos hallazgos son importantes. Sin el atributo de cuarentena, Gatekeeper no escaneará el archivo, lo que potencialmente permitirá que se ejecute código malicioso sin el conocimiento o consentimiento del usuario.

Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad integradas en macOS y ejecutar software malicioso en el sistema objetivo.

En respuesta a estos hallazgos, algunos desarrolladores ya han comenzado a abordar este problema. BetterZip, Archiver e iZip anunciaron actualizaciones de software para manejar adecuadamente los atributos de cuarentena.

Sin embargo, la cuestión más amplia de depender del cumplimiento de terceros para la seguridad general del sistema sigue siendo motivo de preocupación.

Se recomienda a los usuarios que tengan precaución al utilizar aplicaciones de terceros y se aseguren de que sus sistemas estén actualizados con los últimos parches de seguridad. Mientras tanto, Apple y los desarrolladores externos deben trabajar diligentemente para abordar estas vulnerabilidades y fortalecer la seguridad en todo el ecosistema macOS.

Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí