Esta grave vulnerabilidad en macOS podría permitir el robo de todos tus datos privados
Microsoft afirma que los ciberdelincuentes podrían usar una vulnerabilidad de macOS para evadir la tecnología de Transparencia, Consentimiento y Control (TCC). En otras palabras podrían acceder a los datos protegidos de los usuarios.
El equipo de investigación de Microsoft 365 Defender informó la vulnerabilidad denominada powerdir (identificada como CVE-2021-30970 ) a Apple el 15 de julio de 2021. Los investigadores la reportaron a través de Microsoft Security Vulnerability Research (MSVR).
TCC es una tecnología de seguridad diseñada para impedir que las aplicaciones accedan a datos confidenciales del usuario. TCC permite que los usuarios de macOS configuren los ajustes de privacidad para las aplicaciones instaladas en sus sistemas y dispositivos conectados a sus Mac, incluidas cámaras y micrófonos.
Apple ha restringido el acceso de TCC solo a aplicaciones con acceso completo al disco y ha configurado funciones para bloquear automáticamente la ejecución de código no autorizado. No obstante, los investigadores de seguridad de Microsoft descubrieron que los atacantes podrían plantar una segunda base de datos de TCC especialmente diseñada. Esta base de datos les permitiría acceder a información protegida del usuario.
“Descubrimos que es posible cambiar mediante programación el directorio de inicio de un usuario objetivo y plantar una base de datos TCC falsa. La base de datos falsa almacena el historial de consentimiento de las solicitudes de aplicaciones”.
Jonathan Bar Or, investigador principal de seguridad de Microsoft.
Si se explota en sistemas sin parches, esta vulnerabilidad podría permitir que un ciberdelincuente ejecute un ataque basado en los datos personales protegidos del usuario.
Por ejemplo, el atacante podría secuestrar una aplicación instalada en el dispositivo, o instalar su propia aplicación maliciosa. Es decir, podría acceder al micrófono para grabar conversaciones privadas o realizar capturas de pantalla de información confidencial que se muestre en la pantalla del usuario.
Vulnerabilidades similares
Apple también ha parcheado otras evasiones de TCC reportadas desde 2020, que incluyen:
- Montaje de Time Machine (CVE-2020-9771). macOS ofrece una solución integrada de copia de seguridad y restauración llamada Time Machine. Se descubrió que las copias de seguridad de Time Machine se podían montar (utilizando la utilidad apfs_mount) con el indicador “noowners”. Dado que estas copias de seguridad contienen los archivos TCC.db, un atacante podría montar esas copias de seguridad y determinar la política TCC del dispositivo sin tener acceso total al disco.
- Envenenamiento de variables de entorno (CVE-2020-9934). Investigadores descubrieron que el tccd del usuario podía crear la ruta al archivo TCC.db al expandir $launchdHOME/Library/ApplicationSupport/com.apple.TCC/TCC.db. Dado que el usuario podría manipular la variable de entorno $HOME (como se introdujo en tccd por ), un atacante podría plantar un archivo TCC.db elegido en una ruta arbitraria, envenenar la variable de entorno $HOME y hacer que TCC.db usara ese archivo en su lugar.
- Problema de conclusión del paquete (CVE-2021-30713). Esta vulnerabilidad fue revelada por primera vez por Jamf en un artículo sobre la familia de malware XCSSET. La vulnerabilidad se aprovechaba de cómo macOS deducía la información del paquete de la aplicación. Por ejemplo, supongamos que un atacante conoce una aplicación específica que comúnmente tiene acceso al micrófono. En ese caso, podrían plantar su código de aplicación en el paquete de la aplicación de destino y “heredar” sus capacidades de TCC.
Vulnerabilidad reparada
Apple solucionó la vulnerabilidad en las actualizaciones de seguridad lanzadas el mes pasado, el 13 de diciembre de 2021. “Una aplicación maliciosa puede evadir las preferencias de privacidad”, explicó la compañía en el aviso de seguridad .
Apple abordó el problema de lógica detrás de la vulnerabilidad powerdir con una gestión de estado mejorada.
“Durante esta investigación, tuvimos que actualizar nuestro exploit de prueba de concepto (POC) porque la versión inicial ya no funcionaba en la última versión de macOS, Monterey”.
Jonathan Bar Or.
Esto demuestra que incluso cuando macOS u otros sistemas operativos y aplicaciones se fortalecen con cada lanzamiento, los proveedores de software como Apple, los investigadores de seguridad y la comunidad de seguridad en general necesitan trabajar juntos continuamente para identificar y corregir vulnerabilidades antes de que los atacantes puedan aprovecharlas.
Microsoft reportó anteriormente que encontró una vulnerabilidad denominada Shrootless. La vulnerabilidad permitiría a un atacante eludir la Protección de integridad del sistema (SIP) y realizar operaciones arbitrarias, elevar los privilegios a root e instalar rootkits en dispositivos vulnerables.
Los investigadores de la compañía también descubrieron nuevas variantes del malware para macOS WizardUpdate (también conocido como UpdateAgent o Vigram). Las nuevas variantes están actualizadas con nuevas tácticas de evasión y persistencia.
El año pasado, en junio, Redmond reveló vulnerabilidades críticas de firmware en algunos modelos de enrutadores NETGEAR. Los ciberdelincuentes podrían usar esas vulnerabilidades para hackear y moverse lateralmente dentro de las redes empresariales.