La semana pasada, advertimos sobre la aparición de dos errores críticos de día cero que se corrigieron en las últimas versiones de macOS (versión 13, también conocida como Ventura), iOS (versión 16) y iPadOS (versión 16).
Los días cero, como sugiere el nombre, son vulnerabilidades de seguridad que fueron encontradas por los atacantes y que se usaron en la vida real con fines ciberdelincuentes, antes de que Good Guys se diera cuenta y produjera un parche.
En pocas palabras, hubo cero días durante los cuales incluso los usuarios más proactivos y conscientes de la ciberseguridad entre nosotros podrían haberse adelantado a los ladrones.
¿Qué pasó?
En particular, en este reciente incidente de día cero de Apple:
- El informe inicial proporcionado a Apple se atribuyó conjuntamente al Laboratorio de Seguridad de Amnistía Internacional y al grupo de Análisis de Amenazas de Google. Como sugerimos la semana pasada:
No es un gran salto asumir que este error fue detectado por activistas de privacidad y justicia social en Amnistía e investigado por los encargados de la respuesta a incidentes en Google; si es así, es casi seguro que estamos hablando de agujeros de seguridad que se pueden usar, y ya se han usado, para implantar spyware.
- El agujero de seguridad #1 fue un error de ejecución remota de código en WebKit . La ejecución remota de código, o RCE para abreviar, significa exactamente lo que dice: alguien que no tiene acceso físico a su dispositivo y que no tiene un nombre de usuario y una contraseña que le permitan iniciar sesión a través de la red, sin embargo, puede engañar su computadora para que ejecute código no confiable sin darle alertas de seguridad o advertencias emergentes. En las propias palabras de Apple, «el procesamiento de contenido web creado con fines maliciosos puede conducir a la ejecución de código arbitrario». Tenga en cuenta que el «procesamiento de contenido web» es lo que su navegador hace automáticamente, incluso si todo lo que hace es mirar un sitio web, por lo que este tipo de vulnerabilidad se explota comúnmente para implantar malware de forma silenciosa en su dispositivo en un ataque conocido en la jerga comoinstalación automática .
- El agujero de seguridad #2 fue un error de ejecución de código en el kernel mismo. Esto significa que un atacante que ya ha implantado malware a nivel de aplicación en su dispositivo (¡por ejemplo, explotando un error de implantación de malware oculto en WebKit!) puede apoderarse de todo su dispositivo, no solo de una aplicación como su navegador. El malware a nivel de kernel generalmente tiene acceso no regulado a todo su sistema, incluido el hardware, como cámaras y micrófonos, todos los archivos que pertenecen a todas las aplicaciones e incluso a los datos que cada aplicación tiene en la memoria en cualquier momento.
Para que quede claro: el navegador Apple Safari usa WebKit para «procesar contenido web» en todos los dispositivos Apple, aunque los navegadores de terceros como Firefox, Edge y Chromium no usan WebKit en Mac.
Pero todos los navegadores en iOS y iPadOS (junto con cualquier aplicación que procese contenido de estilo web por cualquier motivo, como mostrar archivos de ayuda o simplemente mostrar pantallas Acerca de ) deben usar WebKit.
Esta regla de «usted debe usar WebKit» es una condición previa de Apple para que el software sea aceptado en la App Store, que es prácticamente la única forma de instalar aplicaciones en iPhones y iPads.
Actualizaciones hasta ahora
La semana pasada, iOS 16 , iPadOS 16 y macOS 13 Ventura recibieron actualizaciones simultáneas para estos dos agujeros de seguridad, parcheando así no solo las instalaciones ocultas que explotaron el error de WebKit ( CVE-2023-28205 ), sino también los ataques de adquisición de dispositivos que aprovechó la vulnerabilidad del kernel ( CVE-2023-28206 ).
Al mismo tiempo, macOS 11 Big Sur y macOS 12 Monterey recibieron parches, pero solo contra el error de WebKit.
Aunque eso impidió que los delincuentes usaran páginas web con trampas explosivas para explotar CVE-2023-28705 y, por lo tanto, infectarlo a través de su navegador, no hizo nada para evitar que los atacantes con otras formas de ingresar a su sistema se apoderaran por completo al explotar el error del kernel.
De hecho, no sabíamos en ese momento si los macOS más antiguos no se parchearon contra CVE-2023-28206 porque no eran vulnerables al error del kernel o porque Apple simplemente no tenía el parche listo todavía.
Aún más preocupante, iOS 15 y iPadOS 15 , que aún son oficialmente compatibles y, de hecho, son todo lo que puede ejecutar si tiene un iPhone y un iPad más antiguos que no se pueden actualizar a la versión 16, no recibieron ningún parche.
¿Eran vulnerables a las instalaciones ocultas a través de páginas web pero no al compromiso a nivel de kernel?
¿Eran vulnerables en el kernel pero no en WebKit?
¿Eran realmente vulnerables a ambos errores, o simplemente no eran vulnerables en absoluto?
Actualizar a la historia de actualización
Ahora sabemos la respuesta a las preguntas anteriores.
Todas las versiones compatibles de iOS y iPadOS (15 y 16) y de macOS (11, 12 y 13) son vulnerables a estos dos errores, y ahora todas han recibido parches para ambas vulnerabilidades.
Esto sigue a los anuncios de correo electrónico de Apple de hoy (el nuestro llegó justo después de 2023-04-10T18:30:00Z) de los siguientes boletines de seguridad:
- HT213725: macOS Big Sur 11.7.6. Obtiene una actualización del sistema operativo que agrega un parche a nivel de kernel para el error de «toma de control del dispositivo» CVE-2023-28206, para ir con el parche de WebKit que salió la semana pasada para el error de «instalación automática» CVE-2023-28205 .
- HT213724: macOS Monterrey 12.6.5. Obtiene una actualización del sistema operativo que agrega un parche a nivel de kernel para el error de «toma de control del dispositivo», para acompañar el parche de WebKit que salió la semana pasada.
- HT213723: iOS 15.7.5 y iPadOS 15.7.5. Todos los iPhones y iPads que ejecutan la versión 15 ahora reciben una actualización del sistema operativo para corregir ambos errores.
¿Qué hacer?
En resumen: buscar actualizaciones ahora.
Si tiene un modelo reciente de Mac o iDevice, probablemente ya tenga todas las actualizaciones que necesita, pero tiene sentido verificarlo, por si acaso.
Si tiene una Mac más antigua, debe asegurarse de tener la actualización de Safari de la semana pasada y este último parche para acompañarla.
Si tiene un iPhone o iPad más antiguo, debe obtener la actualización de hoy o, de lo contrario, seguirá siendo vulnerable a ambos errores, como los que se usan en el ataque descubierto por Amnistía e investigado por Google.
Fuente: https://nakedsecurity.sophos.com
