28 mar 2016

Exploit 0-Day para Mac OS X permite robar información sensible

Se ha descubierto una vulnerabilidad Zero-Day en todas las versiones de sistema operativo OS X e iOS de Apple que permite explotar la nueva función de protección de la empresa y robar datos sensibles de los dispositivos afectados. La vulnerabilidad afecta a todas las versiones actuales.

Con el lanzamiento de OS X El Capitan, Apple introdujo una función de protección de seguridad para el kernel del OS X llamado System Integrity Protection (SIP) o rootless. Esta función está diseñada para evitar que software potencialmente malicioso pueda modificar archivos protegidos y carpetas del sistema operativo.

El propósito de SIP es restringir la cuenta root del SO y limitar las acciones que puede realizar un usuario en secciones protegidas del sistema. SIP es un mecanismo de seguridad para que ciertos procesos del sistema, archivos y carpetas no puedan ser modificados o manipulados por otros procesos, incluso si son ejecutados por root o por un usuario con privilegios de root (sudo). Se busca reducir la posibilidad que código malicioso pueda realizar operaciones de elevación de privilegios.

Sin embargo, el investigador de seguridad SentinelOne Pedro Vilaça ha descubierto una vulnerabilidad crítica en OS X y iOS que permite la elevación de privilegios locales saltando SIP y sin utilizar exploit para el kernel. Pedro ha publicado un paper con los detalles [PDF].

Según el investigador, la vulnerabilidad identificada como CVE-2016-1757, es un Non-Memory Corruption bug que permite ejecutar código arbitrario en cualquier máquina específica, realizar la ejecución remota de código (RCE) y escapar de la sandbox del sistema operativo,

Por defecto, SIP protege estas carpetas: /System, / usr, / bin, / sbin, junto con aplicaciones que vienen preinstaladas con OS X.

Según Vilaça, la vulnerabilidad es fácil de explotar con un simple ataque de phishing o basado en el navegador. "Este tipo de exploit podría utilizarse en ataques altamente dirigidos y permite lograr persistencia en el sistema operativo".

La parte más preocupante es que la infección es difícil de detectar, y aún si los usuarios la descubrieran, sería imposible quitar la infección, ya que SIP funcionaría contra ellos, evitando que los usuarios puedan modificar archivos del sistema.

Aunque la vulnerabilidad fue descubierta a principios de 2015 y fue reportada a Apple en enero de este año, la buena noticia es que el error no parece haber sido utilizado in-the-wild.

Apple ha parcheado la vulnerabilidad sólo en versiones de Capitan 10.11.4 y iOS 9.3, que se publicaron hace unos días. Las Otras versiones de iOS no recibieron la actualización, lo que significa que quedan vulnerables a este fallo específico.

Fuente: The Hacker News

Suscríbete a nuestro Boletín

1 comentario:

  1. Y todavia hay quien cree en el falso mito de que los productos de Apple son muy seguros y no usan antivirus.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!