Un fallo zero day en OS X permite saltarse la protección del sistema

SentinelOne es una compañía de seguridad informática que ha publicado el descubrimiento de una importante vulnerabilidad zero day descubierta en OS X, el sistema operativo de Apple para sus ordenadores Mac.

Dicha vulnerabilidad permite saltarse la Protección de Integridad del Sistema (System Integrity Protection), una característica de OS X que permite limitar el acceso a la cuenta de administrador (root en Unix) con el fin de proteger ciertas partes del sistema operativo. Sin embargo, algunos programas consiguen retener los privilegios de administrador, como el encargado de actualizar el sistema operativo. Es ahí cuando el bug puede ser explotado para ejecutar código arbitrario saltándose la Protección de Integridad del Sistema.

Al explotar la vulnerabilidad, el atacante puede además realizar una escalada de privilegios, permitiéndose realizar acciones que no son permitidas a los usuarios comunes. De esta manera se convierte una característica de protección para el usuario en un instrumento para lograr la persistencia del malware.

Para poder infectar, primero se tiene que comprometer el sistema operativo de la víctima, algo que se puede conseguir mediante spear phishing o explotando alguna vulnerabilidad hallada en el navegador web. La vulnerabilidad zero day no afecta al funcionamiento normal del sistema, permitiendo su aprovechamiento para realizar ataques patrocinados.

Más que los daños en sí, quizá lo más peligroso de esta vulnerabilidad sea lo “silenciosa” que es, volviéndose muy difícil de detectar.

Pedro Vilaça, experto en seguridad de SentinelOne, ha presentado todos sus descubrimientos en el evento SysCan360 en Singapur.