15 jul 2019

Fallo de seguridad en Gatekeeper permite ejecutar aplicaciones sin comprobar su firma

GateKeeper poco tiene que ver con el malware ni con un "antivirus" como a veces se dice. Gatekeeper se trata de un sistema que controla que las apps descargadas estén firmadas por un ID conocido.

Para desarrollar para Apple y publicar en el App Store, el programador debe conseguir (y pagar) un ID con el que firma sus programas. Una especie de certificado. Según Apple "El ID del programador permite a Gatekeeper bloquear aplicaciones creadas por desarrolladores de malware y verificar que las apps no han sido modificadas desde que fueron firmadas. Si una app fuera desarrollada por un programador desconocido (o sin ID) o modificada con él, Gatekeeper puede bloquear la app y que no sea instalada".

Por tanto, Gatekeeper está lejos de ser un anti malware. Más bien es un controlador de la integridad, procedencia y autoría de las apps que, si algo le resulta sospechoso, se lo pasará a XProtect marcándolo como "en cuarentena" si viene de un lugar sospechoso.

Por otro lado, también existe MRT en MacOS. Es su Malware Removal Tool, que se parece mucho al Malicious Software Removal Tool de Windows. Sirve para eliminar reactivamente el malware que ya esté instalado y solo se ejecuta cuando se inicia el sistema. Por si fuera poco, confía en rutas muy concretas de infección comunes para desinfectar, por tanto, poco puede hacer.

XProtect es un rudimentario sistema de detección por firmas de malware que se introdujo en septiembre de 2009. Se trata de un primer acercamiento a un antivirus integrado en MacOS. Tan rudimentario que cuando apareció solo reconocía dos familias que solían atacar al sistema operativo de Apple y exclusivamente comprobaba los ficheros descargados desde Safari, iChat, Mail y ahora Messages (lo que deja fuera a navegadores tan populares en MacOS como Chrome o Firefox).

Leer más en "Cómo funciona el antimalware XProtect para MacOS y por qué detecta poco y mal".

De esta manera, si descargamos cualquier aplicación desde fuera de la App Store, tendrá que pasar por esta herramienta de seguridad, quien verificará la firma digital de la misma y, si no ha sido verificada por Apple, nos obligará a confirmar su ejecución manualmente.
Un investigador de seguridad ha podido comprobar que la herramienta de seguridad Gatekeeper de MacOS X Mojave 10.14.5 (aunque puede también afecte a otras versiones anteriores del sistema operativo de Apple) está considerando las unidades externas (como discos duros, o memorias USB), así como las unidades de red compartidas, como sitios seguros. De esta forma, si tenemos una aplicación descargada manualmente de cualquier fuente (de una web, torrent, etc) y la ejecutamos desde estas unidades, estas se abrirán automáticamente sin comprobar la firma ni pedir confirmación al usuario.

Esto, en un principio, no debería preocuparnos demasiado. Sin embargo, macOS viene configurado para montar automáticamente unidades de red y unidades externas (a través de AutoFS) en un directorio interno, lo que puede ser utilizado para descargar y ejecutar malware en un sistema Mac sin que el usuario tenga constancia de ello.

Un enlace simbólico pone en jaque la seguridad de macOS

El investigador de seguridad ha publicado una prueba de concepto, PoC, para demostrar la peligrosidad de esta vulnerabilidad. En ella indica los pasos que habría que seguir para que cualquiera pudiera saltarse esta medida de seguridad.

Lo primero que habría que hacer sería crear un archivo ZIP con un enlace simbólico al final que apuntara, por ejemplo, a /net/linux-vm.local/nfs/. Dentro de este ZIP escondemos una aplicación cualquiera que hayamos creado con un determinado código y lo subimos a Internet.
Al descargarlo y descomprimirlo, se asociará la ejecución de la aplicación al enlace simbólico y, al ser este una unidad de red, evitaría pasar por Gatekeeper. Igualmente podría hacerse uso de un script intermedio para buscar puntos de montaje de unidades externas y ejecutar la aplicación desde allí.

Cómo protegernos de este fallo de seguridad

El investigador de seguridad que descubrió la vulnerabilidad avisó a Apple el pasado mes de febrero, sin embargo, desde mayo la compañía no ha vuelto a dar respuesta sobre el fallo de seguridad y, por lo tanto, el investigador ha decidido hacer el fallo público para que los usuarios puedan ser conscientes de él.

Por ahora no hay ninguna forma de protegernos de este fallo de seguridad. Hasta que Apple no corrija el problema directamente en Gatekeeper todos los usuarios de macOS son potencialmente vulnerables, incluso los que utilicen la última versión del sistema operativo de Apple.

Por ello, la única forma de no tener peligro es asegurarnos de descargar siempre las aplicaciones desde páginas web fiables, o mejor aún, desde la App Store de Apple, la tienda de aplicaciones oficial que siempre está controlada por la compañía reduciendo al mínimo la probabilidad de descargar y ejecutar una aplicación con malware en nuestro Mac.

Si queremos más seguridad, también podemos deshabilitar temporalmente el montaje automático de unidades editando el fichero /etc/auto_master y comentando la línea que empieza por ‘/net’.

Fuente: Fcvl | Flu-Project

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!