Una falla de seguridad en el navegador Safari en dispositivos macOS podría haber expuesto a los usuarios a espionaje, robo de datos y otras formas de malware.
El problema se debe a los permisos especiales que Apple otorga a sus aplicaciones propias (en este caso, su navegador) y a la facilidad con la que un atacante puede acceder a importantes archivos de configuración de aplicaciones. En última instancia, esto permite a un atacante eludir el Transparencia, Consentimiento y Control (TCC) capa de seguridad que utilizan las MacBooks para proteger datos confidenciales. Su entrada CVE, CVE-2024-44133, recibió una calificación de gravedad «media» de 5,5 en el Sistema de puntuación de vulnerabilidad común (CVSS).
Los investigadores de Microsoft denominaron su exploit CVE-2024-44133 «HM surfear» En una nueva entrada de blog, describieron cómo HM Surf podría abrir la puerta a los datos de navegación, cámara y micrófono de un usuario, y a la ubicación de su dispositivo, entre otras cosas. Y la amenaza no parece sólo teórica: ya existe Alguna evidencia no concluyente pero no despreciable que sugiere que un programa publicitario ya ha explotado CVE-2024-44133, o algo similar, en la naturaleza.
Apple lanzó una solución para CVE-2024-44133 en su actualización a macOS Sequoia el 16 de septiembre.
«Esto es una preocupación grave, debido al acceso no autorizado que brinda», dice Xen Madden, experto en ciberseguridad de Menlo Security, enfatizando la necesidad de que las organizaciones actualicen sus dispositivos macOS. Pero añade: «A primera vista, la mayoría de las herramientas EDR lo detectarán, especialmente porque Microsoft Defender lo detecta».
Explotar HM Surf
En todos los dispositivos Apple, TCC está ahí para administrar datos confidenciales y funciones a las que pueden acceder las aplicaciones. Si una aplicación quiere acceder a su cámara, por ejemplo a través de TCC, puede estar seguro de que su Mac le pedirá permiso primero.
A menos que su solicitud tenga un «derecho» especial. Algunas aplicaciones propiedad de Apple tienen derechos: permisos especiales, aprobados por Apple, que les otorgan privilegios únicos sobre otras aplicaciones. La razón principal por la que HM Surf funciona es el derecho de Safari, «com.apple.private.tcc.allow», que le permite omitir TCC a nivel de aplicación y aplicarlo sólo por sitio web («por origen»). En otras palabras, Safari puede acceder libremente a su cámara y micrófono de la forma que desee, pero cualquier sitio web que visite a través de Safari probablemente no lo hará.
La configuración de Safari, incluidas las reglas que definen las protecciones TCC por origen, se almacena en varios archivos en ~/Biblioteca/Safarien el directorio de inicio del usuario. La manipulación de estos archivos podría proporcionar una ruta a Derivación TCCaunque el directorio de inicio en sí está protegido por TCC.
Sin embargo, sortear este obstáculo es sencillo utilizando la utilidad Auto Directory Service Command Line (DSCL), una herramienta de macOS para administrar servicios de directorio desde la línea de comandos. En HM Surf, DSCL se utiliza para modificar temporalmente el directorio de inicio, eliminando así el escudo general de TCC. ~/Biblioteca/Safari. Ahora podían modificar las configuraciones TCC por origen de Safari, permitiendo todo tipo de permisos para un sitio web malicioso de su propia creación, antes de revertir finalmente el directorio de inicio. Posteriormente, si un usuario visitara el sitio malicioso, el sitio podría capturar capturas de pantalla, datos de ubicación, etc., sin siquiera activar una ventana emergente de permiso.
¿Ya se ha explotado CVE-2024-44133?
Después de inventar su exploit, Microsoft comenzó a escanear los entornos de los clientes en busca de actividad que coincidiera con lo que habían encontrado. En un dispositivo, he aquí, vieron algo que se parecía mucho a lo que estaban buscando.
Este era un programa que espiaba los ajustes de configuración de Chrome de la víctima, agregando aprobación para el acceso al micrófono y la cámara a una URL específica. También hizo más: recopilar información sobre usuarios y dispositivos, sentando las bases para una carga útil de segunda etapa.
Resultó que este programa era un conocido programa publicitario de macOS llamado «Carga publicitaria«AdLoad secuestra y redirige el tráfico del navegador, acosando a los usuarios con anuncios no deseados. También va más allá: recopila datos de los usuarios, convierte los dispositivos infectados en nodos de una botnet y sirve como campo de juego para otras cargas útiles maliciosas.
En su publicación de blog, Microsoft señaló que aunque la actividad de AdLoad se parecía mucho a la técnica de navegación HM, «debido a que no pudimos observar los pasos dados que condujeron a la actividad, no podemos determinar completamente si la campaña AdLoad utiliza la técnica de navegación HM. vulnerabilidad misma. Sin embargo, añade, «los atacantes que utilizan un método similar para desplegar una amenaza generalizada aumentan la importancia de tener protección contra ataques que utilizan esta técnica».
Dark Reading se ha puesto en contacto con Apple y Microsoft para obtener más comentarios sobre esta historia.
