Los investigadores de XM Cyber han descubierto un método para atacar una Mac sin necesidad de explotar el kernel ni pasar por alto la Protección de integridad del sistema (SIP) de macOS. XM Cyber ha creado una herramienta llamada XM Hunter como prueba de la vulnerabilidad, que se demostrará en la conferencia Black Hat en agosto.
Para aprovechar el exploit, un atacante necesita encontrar una manera de acceder a la Mac, ya sea accediendo directamente a ella o mediante ingeniería social. El ataque en sí implica la instalación de una aplicación firmada legítimamente, y cuando macOS almacena en caché la huella digital de confianza de la aplicación, el atacante puede ingresar y modificar el paquete de aplicaciones con una carga útil maliciosa. Según la empresa, el ataque «no activa firmas de exploits estándar ni deja artefactos obvios en el registro de eventos».
XM Cyber informa que el exploit podría usarse incluso con herramientas de seguridad de endpoints empresariales ejecutándose en la Mac de destino, y las Mac que ejecutan CrowdStrike Falcon Sensor y Kandji MDM Agent fueron pirateadas con éxito. Desde entonces, CrowdStrike y Kandji han actualizado su software para solucionar la vulnerabilidad. Apple no ha respondido públicamente a los hallazgos de XR Cyber.
Cómo protegerte
La forma más sencilla de protegerse de un ataque como este es evitar descargar software desde sitios de descarga con los que no esté familiarizado. No instale software para alguien que no conoce o que no está autorizado a brindarle soporte. Nunca abra enlaces en correos electrónicos o mensajes de texto que reciba de fuentes desconocidas e inesperadas. Si recibe un mensaje que parece provenir de una entidad con la que hace negocios, verifique la dirección de correo electrónico del remitente e inspeccione la URL cuidadosamente. Si ve un enlace o botón, puede hacer clic con la tecla Control presionada, seleccionar Copiar dirección de enlace y luego pegarlo en un editor de texto para ver la URL real y verificarlo allí.
Apple ha examinado el software en la Mac App Store y es la forma más segura de obtener aplicaciones. Si prefiere no frecuentar la Mac App Store, compre software directamente del desarrollador y de su sitio web. Si insiste en utilizar software descifrado, siempre correrá el riesgo de exponerse a malware.
Macworld tiene varias guías de ayuda, incluida una guía sobre si necesita o no software antivirus, una lista de virus, malware y troyanos de Mac, y una comparación de software de seguridad de Mac.
Apple cuenta con protecciones en macOS y la empresa publica parches de seguridad a través de actualizaciones del sistema operativo, por lo que es importante instalarlos cuando estén disponibles. Si Apple retira una actualización, la compañía la volverá a publicar tan pronto como se revise adecuadamente con las correcciones.
