Menú principal

miércoles, 5 de agosto de 2015

Campaña de malware explota el 0day sin parche de OS X

Hace una semana hablábamos de cómo ser root en OS X 10.10 con un exploit que cabe en un tweet. Al día siguiente hablamos del módulo que habían sacado para Metasploit. Hoy la noticia es otra, y es que se ha descubierto un malware que aprovecha de este 0day para elevar privilegios en el sistema y poder instalarse con el mayor de los privilegios y sin necesidad de introducir contraseñas. Este malware ha sido descubierto por malwarebytes y el instalador de software malicioso se aprovecha del 0day para ganar privilegios y poder instalarse sin necesidad de introducir la contraseña de root. 

Esta explotación es posible porque Apple dejó sin parchear este bug en la último paquete de actualizaciones, y con él se pueden modificar los permisos del fichero sudoers gracias al exploit publicado en twitter. Desde malwarebytes han explicado:
Cómo se puede visualizar en el fragmento de código mostrado, el script que explota la vulnerabilidad DYLD_PRINT_TO_FILE se escribe en un archivo y luego se ejecuta. Parte de la escritura implica la supresión de sí mismo cuando está terminado. Se modifica el archivo sudoers, añadiendo una línea al fichero que proporciona el poder de no introducir contraseña cuando se hace uso de sudo. Después, el script realiza un comportamiento con identidad de root a través de sudo para lanzar la aplicación VSInstaller, la cual se encuentra en un directorio oculto en la imagen de disco del instalador, dándole permisos de superusuario. Por lo tanto, le proporciona la capacidad de instalar cualquier cosa en cualquier lugar.
Figura 1: Código malicioso descubierto

Hay que recordar que la vulnerabilidad afecta a las versiones OS X 10.10.4 y las versiones beta de OS X 10.10.5, mientras que en la versión OS X 10.11 El Capitan, que aún no es pública, está resuelta. Esta semana publicamos la noticia de Thunderstrike 2, el cual ataca directamente a la ROM a través de los perifericos.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares