Publican detalles sobre la nueva vulnerabilidad de macOS, Archive Utility, parcheada recientemente

Investigadores de seguridad cibernética compartieron detalles sobre una vulnerabilidad de seguridad ya abordada en el sistema operativo macOS de Apple, que podría explotarse potencialmente para ejecutar aplicaciones maliciosas de una forma que puede eludir las medidas de seguridad de Apple.

La vulnerabilidad, rastreada como CVE-2022-32910, tiene sus raíces en la utilidad de archivo integrada y «podría llevar a la ejecución de una aplicación no firmada y no certificada sin mostrar avisos de seguridad al usuario, mediante el uso de un archivo especialmente diseñado», dijo la firma de administración de dispositivos de Apple, Jamf.

Después de la divulgación responsable el 31 de mayo de 2022, Apple abordó el problema como parte de macOS Big Sur 11.6.8 y Monterey 12.5 lanzados el 20 de julio de 2022. El gigante tecnológico, por su parte, también revisó los avisos emitidos anteriormente a partir del 4 de octubre para agregar una entrada para la vulnerabilidad.

Apple describió el error como un problema lógico que podría permitir que un archivo de almacenamiento eluda las comprobaciones de Gatekeeper, que está diseñado para garantizar que solo se ejecute software confiable en el sistema operativo.

La tecnología de seguridad logra esto mediante la verificación que el paquete descargado es de un desarrollador legítimo y ha sido notariado por Apple, es decir, se le ha otorgado un sello de aprobación para garantizar que no haya sido manipulado de forma maliciosa.

«Gatekeeper también solicita la aprobación del usuario antes de abrir el software descargado por primera vez para asegurarse de que el usuario no haya sido engañado para ejecutar un código ejecutable que creía que era simplemente un archivo de datos», dijo Apple en su documentación de soporte.

Cabe mencionar que los archivos de almacenamiento descargados de Internet están etiquetados con el atributo extendido «com.apple.quarantine», incluyendo los elementos dentro del archivo, para activar una verificación de Gatekeeper antes de la ejecución.

Pero en una peculiaridad descubierta por Jamf, Archive Utility no agrega el atributo de cuarentena a una carpeta «al extraer un archivo que contiene dos o más archivos o carpetas en su directorio raíz».

Por lo tanto, al crear un archivo de almacenamiento con la extensión «exploit.app.zip», conduce a un escenario en el que un desarchivado da como resultado la creación de una carpeta llamada «exploit.app», mientras que también carece del atributo de cuarentena.

Esta aplicación «pasará por alto todas las comprobaciones de Gatekeeper, lo que permitirá la ejecución de un binario no certificado y/o firmado», dijo el investigador de Jamg, Ferdous Saljooki, quien descubrió la falla.

Los hallazgos llegan más de seis meses después de que Apple abordara otra vulnerabilidad similar en macOS Catalina, Big Sur 11.6.5 y Monterey 12.3 (CVE-2022-22616) que podría permitir que un archivo ZIP malicioso eluda las comprobaciones de Gatekeeper.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *