martes, 4 de agosto de 2015

Nuevo 0day en Mac OS X permite acceso root

Una nueva vulnerabilidad 0day afecta esta vez a Mac OS X, el problema se está empleando en la actualidad por atacantes online para conseguir acceso root en sistemas Apple.

El mes pasado el investigador de seguridad Stefan Esser de SektionEins, descubrió una nueva vulnerabilidad en OS X que afectaba a sistemas OS X 10.10.x a través de nuevas características recientemente añadidas al sistema operativo en el enlazador dinámico dyld y la variable de entorno DYLD_PRINT_TO_FILE.

Esser no informó a Apple del problema antes de su publicación, pero no queda claro si Apple ya tenía conocimiento del problema; ya que este aparece corregido en las primeras betas de OS X El Capitan 10.11, pero no en las versiones actuales de OS X 10.10.4, ni siquiera en la beta de OS X 10.10.5.

Ahora la vulnerabilidad se está explotando.

El desarrollador Adam Thomas de Malwarebytes ha descubierto el exploit mientras investigaba un nuevo instalador de adware. Mientras analizaba en un OS X comprobó como se había modificado el archivo sudoers. Este archivo es un archivo UNIX oculto que determina, entre otras cosas, quién (y cómo) puede conseguir permisos de root en una Shell de UNIX.

Las modificaciones de sudoers permitían a una aplicación (en este caso, el instalador del adware) conseguir permisos de root a través de una shell UNIX sin necesidad de contraseña de administrador. Una vez que se explota la vulnerabilidad se podrá ejecutar comandos shell como root usando sudo, sin el requisito habitual de introducir la contraseña.

Exploit DYLD_PRINT_TO_FILE encontrado por Malwarebytes
Una vez que ya no es necesario introducir la contraseña para ejecutar sudo, se aprovecha para ejecutar la aplicación VSInstaller con permisos de root, y la posibilidad de instalar cualquier cosa en cualquier sitio. Lo que se utiliza para instalar el adware VSearch, una variante del adware genieo y el junkware MacKeeper. Finalmente dirige al usuario a la aplicación Download Shuttle en la Mac App Store.

En la actualidad Apple no ha publicado todavía ninguna actualización para esta vulnerabilidad. Aunque Esser ofrece un parche disponible desde GitHub en:
https://github.com/sektioneins/SUIDGuard

Más información:

OS X 10.10 DYLD_PRINT_TO_FILE Local Privilege Escalation Vulnerability
https://www.sektioneins.de/en/blog/15-07-07-dyld_print_to_file_lpe.html

DYLD_PRINT_TO_FILE exploit found in the wild
https://blog.malwarebytes.org/mac/2015/08/dyld_print_to_file-exploit-found-in-the-wild/




Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017