Expertos en ciberseguridad alertaron sobre una nueva vulnerabilidad identificada en el sistema operativo macOS que permite desactivar funciones de seguridad empresarial relevantes, sin dejar huella y a través de cuentas de usuario estándar.
Con esta vulnerabilidad, actores maliciosos pueden impedir el funcionamiento de las principales soluciones de detección y respuesta de endpoints (EDR), así como de administración de dispositivos móviles (MDM), sin necesidad de disponer de credenciales de administrador, exploits de kernel o de activar alertas de seguridad.
Así lo han dado a conocer el grupo de investigadores de la compañía de ciberseguridad MX Cyber a través de una reciente investigación, donde explicaron que esta vulnerabilidad se aprovecha de la forma en que los servicios XPC de macOS —los encargados de la comunicación entre procesos para ejecutar tareas en segundo plano de forma aislada y con privilegios sobre el equipo— establecen límites de confianza.
Concretamente, los expertos detallaron que al combinar la explotación de la caché del kernel CDHash con la inyección de carga útil NIB —que cargan interfaz y código relacionado—, los actores maliciosos podrían suplantar componentes de aplicaciones de confianza, engañando a los servicios XPC para que permitan privilegios sin autenticación.
Esto significa que macOS cuenta con algo parecido a una memoria caché de confianza para aplicaciones ya ejecutadas, de manera que, una vez ejecutada una aplicación legítima, independientemente de que se hayan realizado modificaciones en los recursos y código de la misma, el sistema supone que sigue siendo la aplicación legítima conocida y ofrece privilegios XPC sin comprobarlo.
Es decir, lo que hace esta vulnerabilidad es convencer al propio software para que ejecute sus funciones privilegiadas creyendo que quien las solicita es de confianza, mientras que realmente puede estar ejecutando código introducido por actores maliciosos dentro del contexto de una aplicación legítima.
Como resultado, los investigadores aseguraron que pueden conseguir desactivar o, incluso, desinstalar software de seguridad, así como dejar de monitorizar el sistema. Todo ello sin necesidad de ser administrador del equipo y sin explotar ningún fallo a nivel de kernel.
Según MX Cyber, esta vulnerabilidad llama la atención porque muchos desarrolladores asumen que la comprobación basada en la firma de código es suficiente. Sin embargo, un fallo de diseño como en estas aplicaciones que establecen confianza con los servicios XPC puede desembocar en una vulnerabilidad de estas características.
“Esta investigación invalida fundamentalmente esa premisa en toda la plataforma macOS”, señalaron los expertos.
Por tanto, en base a cómo se conserva esa confianza tras ejecutar una aplicación legítima, un atacante con acceso a una cuenta de usuario puede lograr que un servicio con privilegios ejecute acciones sensibles en su nombre, rompiendo así la frontera de confianza.
La compañía de ciberseguridad ha detallado que, por tanto, se pueden dar casos de puntos ciegos antes de la brecha, en los que un empleado malintencionado o un atacante con acceso básico de usuario “puede deshabilitar sistemáticamente los agentes EDR y MDM”, impidiendo actuar a las principales soluciones de seguridad empresarial, antes de llevar a cabo, por ejemplo, una exfiltración de datos.
Siguiendo esta línea, además de “socavar la creencia común de que los agentes de seguridad están protegidos contra la manipulación”, la tecnológica también resaltó que provoca un rastro forense “casi nulo”, dado que no explota vulnerabilidades de software típicas ni deja errores. Además, tampoco activa firmas de exploits estándar, ni deja “artefactos obvios en el registro de eventos”.
Cabe destacar que, dado que es necesario contar con acceso a una cuenta de usuario existente, los investigadores han destacado el uso de contraseñas seguras y la autenticación multifactor para garantizar una protección inicial.
*Con información de Europa Press.