por Contenidos
Un error de ejecución de código en macOS de Apple permite a atacantes remotos ejecutar comandos arbitrarios en su dispositivo. Y la peor parte es que Apple aún no lo ha parcheado por completo, como probó Ars.
Estos archivos de acceso directo pueden apoderarse de su Mac
El investigador de seguridad independiente Park Minchan ha descubierto una vulnerabilidad en macOS que permite a los actores de amenazas ejecutar comandos en su computadora. Vincular archivos que tienen el inetloc extensión son capaces de incrustar comandos en su interior. La falla afecta macOS Big Sur y versiones anteriores.
“Una vulnerabilidad en la forma en que macOS procesa inetloc hace que ejecute comandos incrustados dentro, los comandos que ejecuta pueden ser locales para macOS, lo que permite la ejecución de comandos arbitrarios por parte del usuario sin ninguna advertencia / solicitud “, explica Minchan.” Originalmente, inetloc los archivos son enlaces a una ruta de Internet, como una fuente RSS o una ruta telnet; y contener la dirección del servidor y posiblemente un nombre de usuario y contraseña para conexiones SSH y telnet; se puede crear escribiendo una URL en un editor de texto y arrastrando el texto al escritorio “.
Minchan informó el defecto a Apple a través del programa SSD Secure Disclosure como se menciona en el informe.
Existen conexiones a Internet tanto en sistemas Windows como macOS. Pero este error específico afecta negativamente a los usuarios de macOS, especialmente a aquellos que utilizan un cliente de correo electrónico nativo como la aplicación “Mail”.
Por ejemplo, abrir un correo electrónico que contiene un inetloc un archivo adjunto a través de la aplicación “Correo” activará la vulnerabilidad sin previo aviso. Se adjunta un archivo de enlace “test.inetloc” en el correo electrónico de prueba a continuación, haciendo clic en el que inicia la aplicación Calculadora en macOS:
Hacha de sharma
La “solución” de Apple se puede omitir fácilmente
La causa de la vulnerabilidad es bastante simple. Un archivo de enlace de Internet normalmente contiene una URL. Pero, ¿qué pasa si incluye una URL “file: //”?
Las URL que comienzan con “file: //” en lugar de “http: //” o “https: //” que se ven comúnmente se utilizan para recuperar archivos de su sistema informático. Puedes intentar hacer esto en tu Mac ahora. Al abrir un archivo local en su computadora con el navegador web Chrome o Safari, se generará automáticamente su ubicación equivalente file: // en la barra de direcciones. Y, accesos directos a Internet o inetloc Los archivos se pueden crear fácilmente para que apunten a las URL “file: //” en lugar de a las HTTP.
Aunque Apple ha sido notificado de la falla y, comenzando con Big Sur, bloquea la inclusión de URL de archivo: // en los accesos directos de Internet, es posible sortear el bloqueo cambiando el caso del texto:
“Las versiones más recientes de macOS (de Big Sur) han bloqueado file:// prefijo (en com.apple.generic-internet-location) sin embargo, hicieron un caso correspondiente causando Expediente:// o expediente:// para sortear el control “, explica Minchan.
Probé esta teoría en mi macOS Big Sur 11.3.1 usando el código de prueba de concepto (PoC) proporcionado por Minchan y puedo confirmar que el error no se ha solucionado por completo:
Este fragmento con solo ocho líneas de código es lo que lanzó la calculadora que se muestra arriba. Pero cualquier actor de amenazas experto podría modificar este código de prueba para ejecutar código malicioso en la computadora de la víctima.
Se recomienda a los usuarios de Apple Mac que tengan cuidado al abrir .inetloc Accesos directos a Internet, especialmente aquellos que llegan a través de archivos adjuntos de correo electrónico.
