El código de explotación publicado por Microsoft para una vulnerabilidad en macOS podría ayudar a un atacante a eludir las restricciones de la zona de pruebas y ejecutar código en el sistema. La empresa creada por aquel genio de Bill Gates y Paul Allen allá por 1975 ha explicado los detalles técnicos del problema de seguridad, que actualmente está identificado como CVE-2022-26706.
Problema y solución, con suerte a tiempo, para evitar las reglas de sandbox de la aplicación macOS y permitir que el código de macro malicioso en documentos de Word ejecute comandos en un dispositivo. El abuso de macros en documentos de Office para distribuir malware ha sido durante mucho tiempo una técnica eficiente y popular para comprometer los sistemas de Windows por parte de los ciberdelincuentes.
Lo mismo podría lograrse en dispositivos macOS que carezcan de las actualizaciones de seguridad adecuadas. La advertencia de Microsoft es actualizar inmediatamente su dispositivo.
-¿Cómo los atacantes eluden las reglas de Microsoft al liberar código malicioso?
«A pesar de las restricciones de seguridad impuestas por las reglas de App Sandbox sobre las aplicaciones -explica oficialmente Microsoft-, es posible que los atacantes eludan estas reglas y dejen escapar códigos maliciosos del sandbox y ejecuten comandos arbitrarios en un dispositivo afectado».
Jonathan Bar Or del equipo de investigación de Microsoft 365 Defender, directamente en bleepingcomputer, señaló que la vulnerabilidad se descubrió mientras investigaba métodos para ejecutar y detectar macros maliciosas en documentos de Microsoft Office en macOS. Para garantizar la compatibilidad con versiones anteriores, Microsoft Word puede leer y escribir archivos provistos con el prefijo «~ $», que se define en las reglas de la zona de pruebas de la aplicación.
Después de estudiar informes anteriores sobre el escape de sandbox de macOS, los investigadores descubrieron que el uso de Launch Services para ejecutar un comando open-stdin en un archivo especial de Python con el prefijo mencionado anteriormente les permite escapar de App Sandbox en macOS, lo que podría comprometer el sistema.
Los investigadores idearon una prueba de concepto (PoC) que usaba la opción -stdin para el comando abierto en un archivo de Python para eludir la restricción de los atributos extendidos «com.apple.quarantine».
El código de explotación de demostración es tan simple como soltar un archivo de Python que contiene comandos arbitrarios y tiene el prefijo especial de Word en el nombre. El uso del comando open-stdin inicia la aplicación de Python con el archivo especialmente diseñado como entrada estándar. «Python ejecuta felizmente nuestro código, y debido a que es un elemento secundario de launchd, no está sujeto a las reglas de la zona de pruebas de Word». Palabra de Jonathan Bar Or.