Durante las últimas semanas hemos visto que el sitema macOS utilizado en los ordenadores de Apple ha sido protagonista de varias noticias relacionadas con la seguridad informática. Es probable que el lanzamiento el pasado 25 de septiembre del nuevo sistema operativo High Sierra tenga algo de relación, aunque, como vamos a ver a continuación, las vulnerabilidades descubiertás van más allá.
Robo de credenciales
El mismo día del lanzamiento del nuevo sistema operativo de Apple, el exanalista de la NSA Patrick Wardle publicó una vulnerabilidad que permitía a un atacante robar los nombres de usuario y contraseñas de las cuentas almacenadas en el llavero del sistema. Al parecer, las aplicaciones sin firmar instaladas en macOS High Sierra podrían acceder a este llavero y mostrar los usuarios y contraseñas almacenados en texto plano sin necesidad de pedir la contraseña maestra del usuario. En el siguiente vídeo podemos ver un ejemplo de su funcionamiento.
No obstante, para que este ataque funcione se necesita que el usuario descargue y ejecute código desde sitios repositorios que Apple no considera de confianza. De hecho, el propio sistema operativo impide que aquellas aplicaciones que no pertenezcan a desarrolladores de confianza se ejecuten en el sistema, a menos que el usuario desactive esta medida de seguridad explícitamente.
Si el atacante consigue que el usuario ejecute un fichero malicioso desactivando las medidas de seguridad incorporadas en el sistema y este se encuentra con la sesión iniciada, se podrían llegar a obtener las claves almacenadas en el llavero del sistema, algo que comprometería la seguridad de muchos servicios online utilizados por la víctima a menos que tuviese activado el doble factor de autenticación.
Saltándose mecanismos de defensa
Como acabamos de decir, macOS incorpora medidas de seguridad dentro del propio sistema. Sin embargo, hace unos días el investigador Filippo Cavallarin descubrió una vulnerabilidad en sistemas macOS anteriores a High Sierra que permite saltarse Quarantine, una de las características utilizadas por Apple para proteger a los usuarios de ciberataques y códigos maliciosos mediante el uso de una cuarentena en caso de detectar algo sospechoso.
Quarantine hace lo que se puede deducir por su nombre. Esto es, poner en cuarentena aquellos archivos que puedan resultar sospechosos de contener código malicioso. Cuando se descarga o descomprime un fichero se establece un atributo adicional y los ejecuta en un entorno restringido, impidiendo, por ejemplo, que los ficheros HTML no puedan cargar recursos o conectarse a servicios remotos que puedan estar controlados por un atacante.
La vulnerabilidad es posible porque existe un archivo HTML que es parte del kernel de macOS en la ubicación:
/System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html
Este fichero es susceptible de recibir ataques DOM XSS y esto permite ejecutar código JavaScript con el máximo nivel de permisos.
De momento, la solución pasa por actualizar a macOS High Sierra o eliminar el fichero HTML problemático.
EFIs que no se actualizan
Para complicar aún más las cosas, y a pesar de que muchas veces estas vulnerabilidades se solucionan con una simple actualización, durante el último mes conocimos los resultados de un estudio que indicaba que muchos Mac fallan a la hora de instalar parches para el firmware EFI (utilizado para controlar el proceso de arranque antes de que se inicie el sistema operativo), o ni siquiera los reciben.
Además de permitir saltarse otras medidas de seguridad, un ataque exitoso aprovechando vulnerabilidades en EFI consigue que el atacante se oculte muy bien y sea muy difícil de detectar y eliminar, puesto que la reinstalación del sistema o incluso el uso de un nuevo disco duro no son suficientes.
En determinados modelos de Mac el porcentaje que no recibió la actualización correspondiente de su EFI se eleva hasta el 43%, lo que revela que un elevado porcentaje de estos ordenadores son vulnerables a ciertos tipos de ataque como Thunderstrike 1 y 2, algo que afectaría notoriamente a sus usuarios.
Conclusión
Sin duda, septiembre ha sido un mes interesante en lo que a vulnerabilidades para Mac se refiere, y es muy probable que veamos nuevas investigaciones similares. Lo importante es que estas vulnerabilidades sean descubiertas por investigadores que luego las comuniquen para que sean solucionadas, y no por delincuentes que las aprovechen para infectar equipos.