Una
nueva vulnerabilidad 0day afecta esta vez a Mac OS X, el problema se está
empleando en la actualidad por atacantes online para conseguir acceso root en
sistemas Apple.
El mes pasado el investigador de seguridad Stefan Esser de SektionEins, descubrió una nueva vulnerabilidad en OS X que afectaba a sistemas OS X 10.10.x a través de nuevas características recientemente añadidas al sistema operativo en el enlazador dinámico dyld y la variable de entorno DYLD_PRINT_TO_FILE.
Esser no informó a Apple del problema antes de
su publicación, pero no queda claro si Apple ya tenía conocimiento del
problema; ya que este aparece corregido en las primeras betas de OS X El
Capitan 10.11, pero no en las versiones actuales de OS X 10.10.4, ni siquiera
en la beta de OS X 10.10.5.
Ahora la vulnerabilidad se está explotando.
El desarrollador Adam Thomas de Malwarebytes ha
descubierto el exploit mientras investigaba un nuevo instalador de adware.
Mientras analizaba en un OS X comprobó como se había modificado el archivo
sudoers. Este archivo es un archivo UNIX oculto que determina, entre otras
cosas, quién (y cómo) puede conseguir permisos de root en una Shell de UNIX.
Las modificaciones de sudoers permitían a una aplicación (en este caso, el instalador del adware) conseguir permisos de root a través de una shell UNIX sin necesidad de contraseña de administrador. Una vez que se explota la vulnerabilidad se podrá ejecutar comandos shell como root usando sudo, sin el requisito habitual de introducir la contraseña.
Una vez que ya no es necesario introducir la
contraseña para ejecutar sudo, se aprovecha para ejecutar la aplicación
VSInstaller con permisos de root, y la posibilidad de instalar cualquier cosa
en cualquier sitio. Lo que se utiliza para instalar el adware VSearch, una
variante del adware genieo y el junkware MacKeeper. Finalmente dirige al
usuario a la aplicación Download Shuttle en la Mac App Store.
En la actualidad Apple no ha publicado todavía ninguna actualización para esta vulnerabilidad. Aunque Esser ofrece un parche disponible desde GitHub en: https://github.com/sektioneins/SUIDGuard
Más
información:
- OS X 10.10 DYLD_PRINT_TO_FILE Local Privilege Escalation Vulnerability https://www.sektioneins.de/en/blog/15-07-07-dyld_print_to_file_lpe.html
- DYLD_PRINT_TO_FILE exploit found in the wild https://blog.malwarebytes.org/mac/2015/08/dyld_print_to_file-exploit-found-in-the-wild/