MacOS, el sistema operativo de Apple, cuenta con una función llamada Gatekeeper , que permite que solo se ejecuten aplicaciones confiables, verificando y asegurando que el software haya sido firmado por la App Store o por un desarrollador registrado y haya sido aprobado un proceso llamado «app notarization» que escanea el software en busca de contenido malicioso. Apple ha lanzado una actualización de los sistemas operativos macOS para arreglar la vulnerabilidad de día cero, que estaba siendo explotada activamente y que permitía eludir todas las protecciones de seguridad, permitiendo así que el software no aprobado se ejecute.

«Una aplicación de prueba de concepto basada en script, sin firmar y no anotada, podría eludir de manera trivial y confiable todos los mecanismos de seguridad relevantes de macOS (requisitos de cuarentena de archivos, gatekeeper y notarization), incluso en un sistema macOS M1 completamente parcheado. Armados con tal capacidad, los autores de malware de macOS podrían (y están) volviendo a sus métodos probados para atacar e infectar a los usuarios de macOS».

Patrick Wardle en su articulo sobre esta vulnerabilidad

El ingeniero de seguridad Cedric Owens reportó a Apple la vulnerabilidad identificada como CVE-2021-30657, el pasado 25 de marzo de 2021. El nuevo fallo podría permitir a un ciberdelincuente crear una aplicación maliciosa de manera que engañaría al servicio Gatekeeper y se ejecutaría sin activar ninguna advertencia de seguridad. El truco consiste en empaquetar un script malicioso como una aplicación para que al hacer doble clic en el malware, se ejecute como una aplicación.

El articulo publicado por Cedric detalla y ejemplifica cómo se explota esta vulnerabilidad, a nivel técnico. Una lectura más que recomendada si quieres saber más sobre este fallo: https://cedowens.medium.com/macos-gatekeeper-bypass-2021-edition-5256a2955508.

«Es una aplicación en el sentido de que puede hacer doble clic en ella y macOS la ve como una aplicación cuando hace clic con el botón derecho -> Obtener información sobre la carga útil». «Sin embargo, también es un script de shell y Gatekeeper no comprueba los scripts incluso si el atributo de cuarentena está presente».

Publica Cedric Owens

Según publica Jamf, una firma de seguridad para enfocado en el entorno Apple, el ciberdelincuente detrás del malware Shlayer ha estado abusando de esta vulnerabilidad de bypass de Gatekeeper desde el 9 de enero de 2021. Este ataque ha sido distribuido a través de una técnica llamada envenenamiento de motor de búsqueda o spamdexing, Shlayer representa casi el 30% de todas las detecciones en el plataforma macOS, con uno de cada diez sistemas que encuentra el adware al menos una vez, según las últimas estadísticas de Kaspersky.

El ataque funciona manipulando los resultados del motor de búsqueda para mostrar enlaces maliciosos que, cuando se hace clic en ellos, redirigen a los usuarios a una página web que les pide que descarguen una actualización de una aplicación aparentemente benigna para software desactualizado. Es preocupante que este esquema de infección pueda aprovecharse para ofrecer amenazas mas avanzadas, como software de vigilancia y ransomware.

Estas dos circunstancias unidas, provocan que el usuario ejecute una aplicación creyendo que está actualizando y que el sistema de seguridad de Apple no muestre ningun aviso al respecto, ejecutandose como si fuese software legitimo

Desde Hispasec, recomendamos actualizar de manera urgente, la última actualización del sistema operativo macOS de Big Sur 11.3, ya está parcheada.

Más información:

macOS Gatekeeper Bypass (Cedric Owens) https://cedowens.medium.com/macos-gatekeeper-bypass-2021-edition-5256a2955508

Cedric Owens https://twitter.com/cedowens

Shlayer malware abusing Gatekeeper bypass on macOS https://www.jamf.com/blog/shlayer-malware-abusing-gatekeeper-bypass-on-macos/

OSX/Shlayer: New Mac malware comes out of its shell https://www.intego.com/mac-security-blog/osxshlayer-new-mac-malware-comes-out-of-its-shell/

Shlayer Trojan attacks one in ten macOS users https://securelist.com/shlayer-for-macos/95724/

La entrada Hackers pueden instalar malware en MacOS a través de una vulnerabilidad en Gatekeeper se publicó primero en Una al Día.