Territorio Móvil

Una falla en la utilidad de archivo de macOS podría permitir a los atacantes eludir Gatekeeper

archivador macOS

AppleInsider cuenta con el respaldo de su audiencia y, como Asociado y Afiliado de Amazon, puede ganar comisiones en compras calificadas. Estas asociaciones de afiliados no afectan nuestro contenido editorial. Una de las mejores razones para mantener macOS actualizado es protegerse contra fallas de seguridad, y Jamf encontró una importante en el verano de 2022 que permitía a los atacantes eludir macOS Gatekeeper. Jamf Threat Labs encontró la vulnerabilidad en macOS Monterey 12.5. La compañía lo informó a Apple el 31 de mayo de 2022 y Apple lo reparó en julio. Jamf dice que comenzó cuando su equipo encontró un error en Safari que podía eludir Mac Endpoint Security, una API del sistema que monitorea la actividad potencialmente maliciosa. Antes del parche, un atacante podía inyectar una aplicación maliciosa en un archivo ZIP utilizando un comando de Terminal específico para aprovechar el error de Safari. Después de que el equipo informara este error a Apple, investigaron otras funciones de archivo que podrían ser vulnerables a problemas similares.

Contenidos

Utilidad de archivo

Después de probar macOS Archive Utility, una aplicación integrada que puede comprimir y descomprimir archivos, encontraron otro error. Se rastrea como CVE-2022-32910 en la base de datos de vulnerabilidades y exposiciones comunes, que rastrea las vulnerabilidades en todas las plataformas. Jamf descubrió que al crear un archivo de Apple con Archive Utility utilizando un comando similar, el archivo pasaba por alto Gatekeeper y cualquier control de seguridad al abrirlo con un doble clic. Un archivo de Apple es el formato propietario de la empresa que permite una compresión sin pérdidas. Estos archivos tienen una extensión .aar cuando se visualizan en el Finder. Sin embargo, el equipo dice que el error no se limita a Apple Archives.

Cómo se vincula Safari

Jamf explica que cuando se descarga un archivo de la web, se agrega un atributo único llamado com.apple.quarantine. Le dice a macOS que el archivo se descargó de una fuente remota y debe verificarse antes de permitir su ejecución. Cuando Archive Utility extrae un archivo, aplica el atributo de cuarentena a todos los elementos extraídos. En su ejemplo, el equipo agregó un archivo de imagen fuera del lugar habitual donde se aplica el sistema com.apple.quarantine. Cuando Archive Utility luego desarchivó el archivo, esta imagen no tenía un atributo de cuarentena a pesar de que los otros archivos sí lo tenían.El archivo sin atributo de cuarentena Por lo tanto, Gatekeeper no analiza este archivo fuera del directorio habitual dentro del archivo. En lugar de un archivo de imagen utilizado en el ejemplo, un atacante podría agregar una aplicación maliciosa. Luego, cuando el usuario abre el archivo descargado de Internet, el código malicioso podría ejecutarse automáticamente y el usuario no vería ningún aviso de seguridad del sistema.

Cómo protegerse

La forma más obvia de protegerse contra este ataque es mantener macOS actualizado, ya que el error se corrigió desde el verano. Los usuarios pueden descargar otras aplicaciones de seguridad como antivirus o antimalware. Las herramientas de Objective See son una alternativa popular a los antivirus, aunque se pueden usar juntas. Son aplicaciones gratuitas de código abierto que complementan la seguridad nativa de Mac.Respuesta de seguridad rápida de iOS 16 En iOS 16, iPadOS 16 y macOS Ventura, Apple tiene una función llamada Respuesta de seguridad rápida. Esto permite a la empresa enviar actualizaciones de seguridad a los dispositivos sin necesidad de una actualización completa del software. En iOS 16 y iPadOS 16, puede encontrarlo en Configuración > General > Actualización de software > Actualizaciones automáticas. Un interruptor llamado «Instalar respuestas de seguridad y archivos del sistema» dice que los parches para errores de seguridad y archivos del sistema se instalarán automáticamente. Es posible que el usuario deba reiniciar su dispositivo para completar la instalación, pero algunos archivos del sistema pueden instalarse automáticamente incluso si el interruptor está desactivado.

MÁS SOBRE APPLE
T-Mobile está renunciando al descuento de AutoPay para Apple Pay a pesar de los problemas de seguridad anteriores
La autoridad de competencia francesa inicia una investigación sobre el ATT de Apple
iOS 17 Beta 4: Esto es nuevo
Cuarta beta para desarrolladores de iOS 17 y iPadOS 17 implementada por Apple
Encuesta: ¿Seguirá valiendo la pena la Apple Card en 2023? [Video]
El iPhone 15 podría tener una lente de cámara mejorada y una mayor apertura

Deja una respuesta

Tu dirección de correo electrónico no será publicada.