El Secuestro de DLL ha plagado las máquinas Windows desde el 2000 y proporciona a los hackers una manera tranquila para ganar persistencia (que la conexión remota o modificación sobrevive a re-inicios del equipo) en una máquina vulnerable, o de forma remota explotar una aplicación vulnerable.
Y ahora ha llegado a Apple Mac OS X.
Se espera que esta semana en la conferencia CanSecWest en Vancouver, el director de investigación de Synack Patrick Wardle, ofrecerá una charla en la que él explicará diferentes ataques que abusan dylibs en OS X para muchos de los mismos propositos que con Windows: la persistencia; inyección en procesos; burlar mecanismos de seguridad (en este caso, Apple Gatekeeper); y la explotación remota.
"El Secuestro de DLL ha perseguido a Windows por buen tiempo; que ha sido abusado por el malware por un número de adversarios maliciosos. Es un ataque bastante generalizado ", dijo Wardle. "Me preguntaba si era similar en OS X y encontre un ataque similar. Detrás de el hay diferencias técnicas, pero ofrece las mismas capacidades. Si se tiene una aplicación vulnerable en OS X, se puede abusar de ella de la misma manera que se ha abusado en Windows."
También se espera que Wardle libere un código fuente de un escáner que detecta aplicaciones que son vulnerables a su ataque. Con la ejecución de su script de Python en contra de su propio equipo OS X, Wardle fue capaz de encontrar 144 binarios vulnerables a las diferentes variantes de sus ataques de secuestro de dylib (DLL), incluyendo Apple Xcode, iMovie y plugins Quicktime, Microsoft Word, Excel y PowerPoint, y aplicaciones de terceros como Java, Dropbox, Herramientas GPG y Adobe plugins.
"Windows es vulnerable al secuestro de DLL, y ahora OS X es igualmente vulnerable al mismo secuestro de dylib", dijo Wardle.
Con ataques DLL y dylib, el concepto es esencialmente el mismo: el atacante debe encontrar una manera de incluir una librería maliciosa en un directorio que cargue con el sistema operativo. Wardle explicó una de las facetas de su ataque, donde fue capaz de encontrar un binario vulnerable de Apply (aplicar) en su Agente Photostream que inicia automáticamente con iCloud.
"Es perfecto para la persistencia del atacante", dijo Wardle. "Copiar un dylib especialmente diseñado en el directorio de PhotoStream, buscas cuando se inicia la aplicación, y el dylib del atacante se carga en el contexto del proceso. Es una manera sigilosa para conseguir la persistencia; ya que no está creando nuevos procesos, ni modificando ningún archivo. Solo está plantando una dylib y ya estas dentro".
En otro ataque, Wardle dijo que fue capaz de conseguir la ejecución de código automático y persistente a través de una inyección al proceso Xcode, el entorno de desarrollo integrado de Apple.
"Mi software malicioso infecta Xcode y cada vez que un desarrollador implementa un nuevo binario, también añadiría el código malicioso", dijo Wardle. "Es un vector de propagación anonimo."
Hasta este momento, Wardle ha notificado a Apple, pero la vulnerabilidad que es considerada como seria, no ha sido reparada.
Cortesia: ThreatPost
Y ahora ha llegado a Apple Mac OS X.
Se espera que esta semana en la conferencia CanSecWest en Vancouver, el director de investigación de Synack Patrick Wardle, ofrecerá una charla en la que él explicará diferentes ataques que abusan dylibs en OS X para muchos de los mismos propositos que con Windows: la persistencia; inyección en procesos; burlar mecanismos de seguridad (en este caso, Apple Gatekeeper); y la explotación remota.
"El Secuestro de DLL ha perseguido a Windows por buen tiempo; que ha sido abusado por el malware por un número de adversarios maliciosos. Es un ataque bastante generalizado ", dijo Wardle. "Me preguntaba si era similar en OS X y encontre un ataque similar. Detrás de el hay diferencias técnicas, pero ofrece las mismas capacidades. Si se tiene una aplicación vulnerable en OS X, se puede abusar de ella de la misma manera que se ha abusado en Windows."
También se espera que Wardle libere un código fuente de un escáner que detecta aplicaciones que son vulnerables a su ataque. Con la ejecución de su script de Python en contra de su propio equipo OS X, Wardle fue capaz de encontrar 144 binarios vulnerables a las diferentes variantes de sus ataques de secuestro de dylib (DLL), incluyendo Apple Xcode, iMovie y plugins Quicktime, Microsoft Word, Excel y PowerPoint, y aplicaciones de terceros como Java, Dropbox, Herramientas GPG y Adobe plugins.
"Windows es vulnerable al secuestro de DLL, y ahora OS X es igualmente vulnerable al mismo secuestro de dylib", dijo Wardle.
Con ataques DLL y dylib, el concepto es esencialmente el mismo: el atacante debe encontrar una manera de incluir una librería maliciosa en un directorio que cargue con el sistema operativo. Wardle explicó una de las facetas de su ataque, donde fue capaz de encontrar un binario vulnerable de Apply (aplicar) en su Agente Photostream que inicia automáticamente con iCloud.
"Es perfecto para la persistencia del atacante", dijo Wardle. "Copiar un dylib especialmente diseñado en el directorio de PhotoStream, buscas cuando se inicia la aplicación, y el dylib del atacante se carga en el contexto del proceso. Es una manera sigilosa para conseguir la persistencia; ya que no está creando nuevos procesos, ni modificando ningún archivo. Solo está plantando una dylib y ya estas dentro".
En otro ataque, Wardle dijo que fue capaz de conseguir la ejecución de código automático y persistente a través de una inyección al proceso Xcode, el entorno de desarrollo integrado de Apple.
"Mi software malicioso infecta Xcode y cada vez que un desarrollador implementa un nuevo binario, también añadiría el código malicioso", dijo Wardle. "Es un vector de propagación anonimo."
Hasta este momento, Wardle ha notificado a Apple, pero la vulnerabilidad que es considerada como seria, no ha sido reparada.
