Apple corrige vulnerabilidad zero-day de macOS explotada por peligroso malware
Apple solucionó una vulnerabilidad zero-day (día cero) en macOS explotada en el entorno por el peligroso malware Shlayer. El malware la usaba para evadir las comprobaciones de seguridad de File Quarantine, Gatekeeper, y Notarization de Apple. Además, le permitía descargar payloads maliciosos de segunda etapa.
Los creadores de Shlayer lograron obtener sus payloads maliciosos a través del proceso de certificación notarial automatizado de Apple antes.
Si pasan esta verificación de seguridad automatizada, Gatekeeper permite que se ejecuten en el sistema. Gatekeeper es una función de seguridad de macOS que verifica si las aplicaciones descargadas han sido verificadas en busca de contenido malicioso conocido.
Anteriormente, Shlayer también usó una técnica de hace dos años para escalar privilegios y deshabilitar Gatekeeper de macOS. Esto para ejecutar payloads de segunda etapa sin firmar en una campaña detectada por la Unidad de Análisis de Amenazas de Carbon Black.
Explotación del zero-day en el entorno para implementar malware
El equipo de detección de Jamf Protect descubrió que, a partir de enero de 2021, los actores de amenazas de Shlayer crearon muestras de Shlayer sin firmar. Y, sin notificar que comenzaron a explotar una vulnerabilidad zero-day (identificada como CVE-2021-30657), descubierta y reportada a Apple por el ingeniero de seguridad Cedric Owens.
Como lo reveló el investigador de seguridad Patrick Wardle, esta vulnerabilidad ahora solucionada aprovecha una falla lógica. Específicamente, en la forma en que Gatekeeper verificaba si los paquetes de aplicaciones estaban notarizados para ejecutarse en sistemas macOS con parches completos.
Wardle agregó que “esta vulnerabilidad puede resultar en la clasificación errónea de ciertas aplicaciones. Y, por lo tanto, hacía que el motor de políticas omitiera la lógica de seguridad esencial. Por ejemplo, alertar al usuario y bloquear la aplicación que no es de confianza”.
Las variantes anteriores requerían que las víctimas hicieran clic con el botón derecho y luego abrieran el script de instalación. Empero, las variantes de malware recientes que se aprovechan de este día cero se distribuyen utilizando resultados manipulados de motores de búsqueda. También está utilizando sitios web comprometidos que se pueden iniciar haciendo doble clic.
El lunes, Apple lanzó una actualización de seguridad para corregir la vulnerabilidad en macOS Big Sur 11.3. La actualización bloquea las campañas de malware que abusan activamente de la vulnerabilidad.
Ahora, los usuarios reciben una alerta de que las aplicaciones maliciosas “no se pueden abrir porque no se puede identificar al desarrollador”. Además, se les recomienda expulsar la imagen de disco montada porque puede contener malware.
El malware Shlayer
Shlayer es un troyano de varias etapas que atacó a más del 10% de todas las Mac, según un informe de Kaspersky de enero de 2020.
El equipo de investigación de Intego detectó a Shlayer por primera vez en una campaña de malware en febrero de 2018. El malware estaba camuflado como un instalador falso de Adobe Flash Player al igual que muchas otras familias de malware dirigidas a usuarios de macOS.
A diferencia de las variantes originales, que se enviaron a través de sitios de torrents, las nuevas muestras de Shlayer ahora se difunden a través de ventanas emergentes de actualización falsas. Estas ventanas emergentes se muestran en dominios secuestrados o clones de sitios legítimos. También están siendo mostradas en campañas de publicidad maliciosa de gran alcance que llenan sitios web legítimos.
Después de infectar una Mac, Shlayer instala el software de proxy mitmdump y un certificado confiable para analizar y modificar el tráfico HTTPS. Esto le permite monitorear el tráfico del navegador de las víctimas o inyectar anuncios y scripts maliciosos en los sitios visitados.
Peor aún, esta técnica permite que el malware altere el tráfico cifrado, como el de la banca en línea y el correo electrónico seguro.
Los creadores de Shlayer actualmente solo implementan adware como payloads secundario. Sin embargo, pueden cambiar rápidamente a payloads más peligrosos como ransomware en cualquier momento.
Un día cero más explotado en el entorno
El mismo lunes se reveló otro zero-day en WebKit Storage explotado en el entorno. Este ha sido identificado como CVE-2021-30661 y afecta a los dispositivos iOS y watchOS al mejorar la administración de la memoria.
La vulnerabilidad permitía a los atacantes ejecutar código arbitrario engañando al objetivo para que abriera en sus dispositivos un sitio web creado con fines malintencionados.
La lista de dispositivos afectados incluye aquellos que ejecutan:
- Apple Watch Series 3 y posterior
- iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores. También afecta al iPad mini 4 y posteriores, e iPod touch (séptima generación)
En total, con las actualizaciones de seguridad de ese día, para las vulnerabilidades de macOS e iOS explotadas en el entorno, Apple ha trabajado mucho. Apple ha abordado nueve zero-days desde noviembre.
La compañía parcheó otros tres zero-days de iOS en noviembre. Una vulnerabilidad de ejecución de código remoto (CVE-2020-27930) y una vulnerabilidad de fuga de memoria del kernel (CVE-2020-27950). Además, una vulnerabilidad de escalada de privilegios del kernel (CVE-2020-27932), que afectaba dispositivos iPhone, iPad y iPod
En enero, Apple corrigió una vulnerabilidad de condición de carrera en el kernel de iOS (identificada como CVE-2021-1782). También corrigió vulnerabilidades de seguridad de WebKit (estas fueron identificadas como CVE-2021-1870 y CVE-2021-1871).