Investigadores en ciberseguridad han descubierto una vulnerabilidad en macOS que permite desactivar funciones clave de seguridad empresarial, incluso utilizando cuentas sin privilegios de administrador.
El fallo afecta a mecanismos como las soluciones de detección y respuesta en endpoints (EDR) y las plataformas de gestión de dispositivos móviles (MDM), que pueden ser inutilizadas sin generar alertas ni requerir exploits avanzados. La vulnerabilidad, identificada por expertos de MX Cyber, se aprovecha de cómo macOS gestiona la confianza entre aplicaciones mediante los servicios XPC, encargados de la comunicación entre procesos con privilegios.
En concreto, los atacantes pueden combinar técnicas como la manipulación de la caché de confianza del sistema (CDHash) y la inyección de cargas en archivos NIB para suplantar componentes de aplicaciones legítimas. De este modo, el sistema interpreta que las solicitudes proceden de software confiable, otorgando privilegios sin verificar su autenticidad. Como resultado, un actor malicioso podría ejecutar acciones críticas, como detener o desinstalar herramientas de seguridad, evitando la monitorización del sistema y dificultando la detección de actividades sospechosas. Todo ello sin necesidad de vulnerar el kernel ni escalar privilegios de forma tradicional.
Aunque este ataque requiere acceso previo al equipo, los expertos advierten de que encaja en escenarios habituales en los que un atacante busca desactivar defensas tras comprometer un sistema, lo que incrementa su gravedad en entornos corporativos.
Riesgos asociados
- Desactivación de herramientas EDR y MDM sin credenciales de administrador.
- Ejecución de acciones privilegiadas sin autenticación válida.
- Pérdida de visibilidad y monitorización de la actividad del sistema.
- Facilita ataques posteriores tras un acceso inicial al equipo.
- Dificultad de detección al no generar alertas ni rastros evidentes.
Medidas de protección para la ciudadanía
- Mantener actualizado el sistema operativo macOS.
- Evitar ejecutar aplicaciones de origen desconocido o no confiable.
- Utilizar soluciones de seguridad adicionales en el equipo.
- Limitar el uso de cuentas con permisos innecesarios.
- Vigilar comportamientos anómalos en el sistema.
Medidas de protección para PYMEs
- Aplicar políticas de control de acceso y mínimo privilegio.
- Monitorizar el estado y funcionamiento de herramientas EDR y MDM.
- Implantar soluciones de detección de anomalías en endpoints.
- Formar a empleados en riesgos de seguridad y accesos iniciales.
- Revisar y auditar configuraciones de seguridad en sistemas macOS.
Fuente: www.europapress.es