Vulnerabilidad crítica en apple que permite realizar capturas de pantalla
Apple ha parcheado una vulnerabilidad crítica en macOS que podría explotarse para tomar capturas de pantalla de la computadora de alguien. Además, la vulnerabilidad permitía realizar capturas de imágenes de la actividad del usuario dentro de aplicaciones o en videoconferencias sin que este se enterara.
Apple abordó la vulnerabilidad, descubierta por investigadores de la firma de ciberseguridad empresarial Jamf, en la última versión de macOS, Big Sur 11.4. El parche fue liberado el lunes según lo reportó Forbes.
Los investigadores dijeron que descubrieron que el software espía (spyware) XCSSET estaba usando la vulnerabilidad identificada como CVE-2021-30713. El malware la usaba “específicamente con el propósito de tomar capturas de pantalla del escritorio del usuario sin requerir permisos adicionales”. Esto según una publicación en el blog de Jamf.
Esta actividad fue descubierta durante el análisis de XCSSET que realizaron los investigadores después de notar un aumento significativo de las variantes detectadas en el entorno. Apple hasta ahora no ha proporcionado detalles específicos sobre la vulnerabilidad en sus registros en la base de datos CVE.
La vulnerabilidad funciona al evadir el framework de Transparency Consent and Control (TCC), que controla a qué recursos tienen acceso las aplicaciones. El TCC otorga acceso al software de colaboración de video a la cámara web y al micrófono, para participar en reuniones virtuales.
“El exploit en cuestión podría permitir a un atacante obtener acceso completo al disco, grabación de pantalla u otros permisos. Esto sin requerir el consentimiento explícito del usuario, que es el comportamiento predeterminado”, según dijeron los investigadores.
Historia del spyware
Trend Micro descubrió el malware XCSSET en agosto pasado cuando los investigadores notaron que los ciberdelincuentes inyectaban malware en proyectos de desarrolladores de Xcode. La inyección de malware provocó la propagación de infecciones. Los investigadores identificaron el malware como una suite llamada XCSSET que podía secuestrar el navegador Safari e inyectar payloads de JavaScript. Estos payloads permiten robar contraseñas, datos financieros e información personal, implementar ransomware y realizar otras funciones maliciosas.
En ese momento, los investigadores de Trend Micro notaron que XCSSET usaba dos vulnerabilidades de día cero (0-day) para hacer su trabajo sucio. Una vulnerabilidad estaba presente en Data Vault que le permitía evadir la función de protección de integridad del sistema (SIP) de macOS. La otra vulnerabilidad estaba presente en Safari para WebKit Development que permitía secuencia de comandos universal entre sitios (UXSS).
Ahora parece que se puede agregar una tercera vulnerabilidad zero-day a la lista de los que XCSSET puede explotar. Según Jamf, que describió en detalle cómo el spyware aprovecha la vulnerabilidad para evadir el TCC.
Análisis del spyware
Tras una inmersión profunda en el spyware, los miembros del equipo de detección de Jamf Protect notaron un módulo de AppleScript llamado “screen_sim.applescript“. Este módulo tenía una marca de verificación llamada “verifyCapturePermissions” que se utiliza para buscar una aplicación con permisos para realizar una captura de pantalla de una lista de aplicaciones instaladas. La lista se derivó de una verificación anterior de los siguientes ID de aplicación de software, a los que el malware se refiere como “donorApps”.
“Como era de esperar, la lista de ID de aplicaciones a las que están dirigidas son todas las aplicaciones a las que los usuarios conceden regularmente el permiso para compartir pantalla como parte de su funcionamiento normal. Luego, el malware usa el comando mdfind, la versión basada en la línea de comandos de Spotlight. Esto para verificar si los ID´s de aplicación están instalados en el dispositivo de la víctima”.
Si se encuentra alguno de esos ID en el sistema, el comando devuelve la ruta a la aplicación instalada. Y, con esta información, XCSSET crea una aplicación AppleScript personalizada y la inyecta en la aplicación donor instalada.
Por ejemplo, si la aplicación de reunión virtual Zoom (zoom.us.app) se encuentra en el sistema, el malware se ubicará así: /Applications/zoom.us.app/Contents/MacOS/avatarde.app. Si la máquina víctima está ejecutando macOS11 o superior, entonces firmará la aplicación falsa con una firma ad-hoc, o una que esté firmada por la propia computadora.
XCSSET puede tomar capturas de pantalla o grabar la pantalla cuando la víctima está usando Zoom sin necesidad de consentimiento explícito del usuario. Esto porque hereda los permisos de TCC directamente de la aplicación principal de Zoom. Los investigadores descubrieron que XCSSET también puede usar la vulnerabilidad para secuestrar otros permisos más allá de compartir la pantalla.
Amenazas de MacOS en aumento
El último problema de seguridad de Apple se produce inmediatamente después de que un ejecutivo de Apple lamentara el nivel de malware contra Mac. Él califico la situación de “inaceptable” dentro de su declaración en un tribunal de California el miércoles pasado por una demanda. Recordemos que esta demanda fue presentada por la empresa Epic Games fabricante de Fortnite.
El jefe de ingeniería de software de Apple, Craig Federighi, utilizó el nivel de amenaza como excusa para las estrictas restricciones de Apple sobre el software que puede ejecutarse en su plataforma y venderse dentro de su App Store de iOS.
De hecho, 2021 ha sido un año menos que estelar hasta ahora para la seguridad de Apple. A principios de este mes, Apple lanzó un cuarteto de actualizaciones no programadas para iOS, macOS y watchOS. El lanzamiento se realizó para aplicar parches de seguridad en fallas en su motor de navegador WebKit.
Una semana antes de eso, Apple parcheó una vulnerabilidad zero-day en MacOS que podía evadir las capacidades anti-malware críticas. Y, que una variante de la notoria amenaza de Mac, el dropper de adware Shlayer, ya había estado explotando durante varios meses.
La compañía comenzó el año eliminando una característica de macOS polémica. Esta característica permitía que algunas aplicaciones de Apple evadieran los filtros de contenido, las VPN y los firewalls de terceros. Rápidamente le siguieron una actualización de emergencia para parchear tres vulnerabilidades de día cero descubiertas en iOS. Esto ocurrió después de una importante actualización de software en noviembre del año pasado que solucionó tres vulnerabilidades que estaban siendo explotadas activamente.
