Los investigadores de seguridad han compartido detalles sobre una falla de seguridad ahora abordada en el sistema operativo macOS de Apple que podría explotarse potencialmente para ejecutar aplicaciones maliciosas de una manera que puede eludir las medidas de seguridad de Apple.
La vulnerabilidad, rastreada como CVE-2022-32910tiene sus raíces en la Utilidad de archivo integrada y «podría conducir a la ejecución de una aplicación no firmada y no certificada sin mostrar avisos de seguridad al usuario, mediante el uso de un archivo especialmente diseñado», firma de administración de dispositivos de Apple jamf dijo en un análisis.
Tras la divulgación responsable el 31 de mayo de 2022, Apple abordó el problema como parte de macOS Big Sur 11.6.8 y Monterrey 12.5 lanzado el 20 de julio de 2022. El gigante tecnológico, por su parte, también revisó los avisos emitidos anteriormente a partir del 4 de octubre para agregar una entrada para la falla.
Apple describió el error como un problema lógico que podría permitir que un archivo de almacenamiento eluda las comprobaciones de Gatekeeper, que está diseñado para garantizar que solo se ejecute software confiable en el sistema operativo.
La tecnología de seguridad logra esto mediante la verificación de que el paquete descargado es de un desarrollador legítimo y ha sido notariado por Apple, es decir, se le ha otorgado un sello de aprobación para garantizar que no haya sido manipulado maliciosamente.
«Gatekeeper también solicita la aprobación del usuario antes de abrir el software descargado por primera vez para asegurarse de que el usuario no haya sido engañado para que ejecute un código ejecutable que creía que era simplemente un archivo de datos», dijo Apple. notas en su documentación de soporte.
También vale la pena señalar que los archivos de almacenamiento descargados de Internet están etiquetados con el atributo extendido «com.apple.quarantine», incluidos los elementos dentro del archivo, para activar una verificación de Gatekeeper antes de la ejecución.
Pero en una peculiaridad descubierta por Jamf, Archive Utility no agrega el atributo de cuarentena a una carpeta «al extraer un archivo que contiene dos o más archivos o carpetas en su directorio raíz».
Por lo tanto, al crear un archivo de almacenamiento con la extensión «exploit.app.zip», conduce a un escenario en el que un desarchivado da como resultado la creación de una carpeta titulada «exploit.app», mientras que también carece del atributo de cuarentena.
Esta aplicación «pasará por alto todas las comprobaciones de Gatekeeper, lo que permitirá que se ejecute un binario no certificado y/o no firmado», dijo el investigador de Jamf Ferdous Saljooki, quien descubrió la falla. Apple dijo que resolvió la vulnerabilidad con controles mejorados.
Los hallazgos llegan más de seis meses después de que Apple abordara otro defecto similar en macOS Catalina, Big Sur 11.6.5 y Monterey 12.3 (CVE-2022-22616) que podría permitir que un archivo ZIP malicioso eluda las comprobaciones de Gatekeeper.