Hace justo un año estábamos hablando en este mismo blog de Stagefright, una vulnerabilidad que afectaba a dispositivos Android y que tan solo necesitaba de un mensaje MMS especialmente preparado por un atacante (entre otros vectores de ataque) para poder ejecutarse. Casualidades del destino o publicación calculada a menos de dos semanas del inicio del congreso de seguridad BlackHat en Las Vegas, un año después tenemos noticias de una vulnerabilidad similar pero esta vez en dispositivos Apple.
Archivos de imágenes que no son lo que parecen
Como sucedía en Stagefright, los ficheros utilizados en este ataque tienen formatos usados principalmente para almacenar imágenes y la vulnerabilidad se aprovecha de como se manejan estos ficheros por defecto en los sistemas afectados. La investigación realizada por el experto de Cisco Talos, Tyler Bohan han permitido conocer hasta 5 vulnerabilidades que permiten la ejecución remota de código en los sistemas de Apple, sistemas que incluyen Mac OS X, iOS, watchOS y tvOS.
Los formatos de ficheros de imágenes que se ven afectados incluyen algunos bastante populares como BMP y TIFF y otros más específicos como OpenEXR y Digital Asset Exchange. La vulnerabilidad que más nos ha llamado la atención y que es bastante similar a StageFright es la que utiliza ficheros de imágenes en formato TIFF y que podría aprovecharse para ejecutar código de forma remota en dispositivos vulnerables.
El punto realmente preocupante de esta vulnerabilidad es el gran alcance que, teóricamente, podría llegar a tener un ataque si quisiera aprovechar masivamente esta vulnerabilidad. La experiencia nos dice que luego estos ataques no se producen o se producen en una escala muy pequeña, en ataques dirigidos, prácticamente. Pero vamos a analizar el funcionamiento para estar prevenidos.
La vulnerabilidad en el manejo de imágenes con formato TIFF puede aprovecharse en cualquier aplicación que haga uso de la API I/O de imágenes de Apple a la hora de manejar este formato de imagen. De la misma forma que vimos con Stagefright en dispositivos Android esto abre todo un abanico de posibilidades para un atacante como, por ejemplo, páginas webs con imágenes maliciosas en ellas, imágenes adjuntas en correos electrónicos o el envío de imágenes maliciosas mediante aplicaciones de mensajería tipo iMessage o recurriendo al clásico MMS.
Sistemas Apple afectados
En base al vector de ataque que el delincuente decida utilizar, se puede limitar la intervención del usuario para que el ataque tenga éxito al mínimo. Si tenemos en cuenta que, por ejemplo, iMessage intenta mostrar la imagen de forma automática cuando tiene la configuración por defecto podemos deducir que el número potencial de dispositivos afectados es bastante elevado.
Tal y como informábamos en el post de ayer, Apple ha tomado cartas en el asunto lanzando recientemente una actualización de su sistema iOS a la versión 9.3.3 y otra actualización de sus sistemas de escritorio OS X que corrige esta vulnerabilidad, por lo que se recomienda actualizar nuestros dispositivos si no lo hemos hecho ya. Es muy probable que queden dispositivos iOS sin actualizar pero, a diferencia de lo que sucede con Android, la gran mayoría de usuarios de dispositivos Apple suele actualizar de forma rápida por lo que se limita el número de víctimas potenciales.
Conclusión
Como ya hemos visto en varias ocasiones, no es necesario que los delincuentes utilicen ficheros ejecutables para poder propagar sus amenazas. Estamos viendo como el ransomware aprovecha ficheros de Word con macros maliciosas para conseguir infectar a sus víctimas así que el uso de imágenes como vector de ataque para aprovechar vulnerabilidades no solo no es descabellado sino que puede tener bastante éxito si se utiliza por parte de los delincuentes.
Frente a este tipo de ataques la mejor solución es tener los sistemas actualizados y, si bien pensamos que no se van a utilizar estas vulnerabilidades de forma masiva, la posibilidad de que sean usadas en un ataque dirigido es suficiente para tener al día el sistema operativo de nuestros dispositivos Apple.
Créditos de la imagen: rudolf_schuba via Foter.com / CC BY