Usuarios de Apple advertidos: al hacer clic en este archivo adjunto, se controlará su macOS

Un error de ejecución de código en macOS de Apple permite a atacantes remotos ejecutar comandos arbitrarios en su dispositivo. Y la peor parte es que Apple aún no lo ha parcheado por completo, como lo probó Ars.

Esos archivos de acceso directo pueden apoderarse de su Mac

El investigador de seguridad independiente Park Minchan ha descubierto una vulnerabilidad en macOS que permite a los actores de amenazas ejecutar comandos en su computadora. Archivos de acceso directo que tienen inetloc extensión son capaces de incrustar comandos en su interior. La falla afecta macOS Big Sur y versiones anteriores.

“Una vulnerabilidad en la forma en que macOS procesa inetloc archivos hace que ejecute comandos integrados en el interior, los comandos que ejecuta pueden ser locales para macOS, lo que permite la ejecución de comandos arbitrarios por parte del usuario sin ninguna advertencia o aviso “, explica Minchan.” Originalmente, inetloc los archivos son accesos directos a una ubicación de Internet, como una fuente RSS o una ubicación de telnet; y contener la dirección del servidor y posiblemente un nombre de usuario y contraseña para conexiones SSH y telnet; se puede crear escribiendo una URL en un editor de texto y arrastrando el texto al escritorio “.

Minchan informó la falla a Apple a través del programa SSD Secure Disclosure como se menciona en el redactar.

Los accesos directos a Internet están presentes en los sistemas Windows y macOS. Pero este error específico afecta negativamente a los usuarios de macOS, especialmente a aquellos que utilizan un cliente de correo electrónico nativo como la aplicación “Mail”.

Por ejemplo, abrir un correo electrónico que contiene un inetloc un archivo adjunto a través de la aplicación “Correo” activará la vulnerabilidad sin previo aviso. En el correo electrónico de prueba a continuación hay un archivo de acceso directo adjunto “test.inetloc”, al hacer clic en el que inicia la aplicación Calculadora en macOS:

Elaborado
Agrandar / Archivo adjunto “inetloc” elaborado cuando se ve a través de la aplicación MacOS Mail.

Hacha Sharma

La “solución” de Apple se puede omitir fácilmente

La causa de la vulnerabilidad es bastante simple. Un archivo de acceso directo a Internet normalmente contiene una URL. Pero, ¿qué sucede si se incluye una URL “file: //”?

URL que comienzan con “expediente://“en lugar de los habituales” http: // “o” ​​https: // “se utilizan para recuperar archivos desde el propio sistema informático. Puedes intentar hacer esto en tu Mac ahora. Abrir un archivo local en tu computadora con Chrome o el navegador web Safari generará automáticamente su archivo equivalente: // ubicación en la barra de direcciones. Y, accesos directos a Internet o inetloc Los archivos se pueden diseñar fácilmente para que apunten a las URL “file: //” en lugar de las HTTP.

Aunque Apple fue notificada de la falla y, comenzando con Big Sur, bloquea la inclusión de URL de archivo: // en los accesos directos de Internet, uno puede evitar el bloqueo cambiando el texto entre mayúsculas y minúsculas:

“Las versiones más recientes de macOS (de Big Sur) han bloqueado file:// prefijo (en el com.apple.generic-internet-location) sin embargo, hicieron una coincidencia de casos que provocó Expediente:// o expediente:// para evitar el cheque “, explica Minchan.

Probé esta teoría en mi macOS Big Sur 11.3.1 usando el código de prueba de concepto (PoC) proporcionado por Minchan y puedo confirmar que el error no se ha corregido por completo:

Código de prueba de concepto de error de macOS RCE que tiene un código para iniciar la aplicación Calculadora.
Agrandar / Código de prueba de concepto de error de macOS RCE que tiene un código para iniciar la aplicación Calculadora.

Este fragmento con solo ocho líneas de código es lo que inició la Calculadora que se muestra arriba. Pero cualquier actor de amenazas hábil podría modificar este código de prueba para ejecutar código malicioso en la máquina de la víctima.

Se advierte a los usuarios de Apple Mac que tengan cuidado al abrir .inetloc Accesos directos a Internet, especialmente los que vienen a través de archivos adjuntos de correo electrónico.


Source: Ars Technica by arstechnica.com.

*The article has been translated based on the content of Ars Technica by arstechnica.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!