apple
Búsqueda de Ciberamenazas

Apple publica un parche de “Respuesta rápida” contra software espía que corrige un segundo día cero

Hace dos semanas, solicitamos a los usuarios de Apple con hardware reciente a utilizar el segundo parche de Respuesta Rápida de la empresa.

Como señalamos en su momento, se trataba de una corrección de errores de emergencia para bloquear un agujero de seguridad en la navegación web que, al parecer, se había utilizado en ataques de spyware en el mundo real:

Componente: WebKit

Impacto: el procesode contenido web puede llevar a la ejecución de código arbitrario. Apple tiene conocimiento de un informe según el cual este problema puede haber sido explotado activamente.

Descripción: se ha solucionado el problema con comprobaciones mejoradas.

CVE-2023-37450: un investigador anónimo

Lo más parecido a los ataques sin clic

Técnicamente, los fallos de ejecución de código que pueden activarse simplemente al visitar una página web con contenido malicioso no cuentan como los llamados ataques de cero clics.

Un verdadero ataque sin clic es aquel en el que los ciberdelincuentes pueden apoderarse de tu dispositivo simplemente porque está encendido y conectado a una red.

Ejemplos bien conocidos son los gusanos Code Red y Slammer de principios de la década de 2000, que se propagaron por todo el mundo en solo unas horas encontrando por sí mismos nuevos ordenadores víctimas, o el legendario gusano Morris de 1988, que se extendió por todo el mundo en cuanto su creador lo liberó.

Morris, autor del gusano homónimo, aparentemente pretendía limitar los efectos secundarios de su “experimento” infectando solo una vez a cada víctima potencial. Pero añadió un código que re-infectaba aleatoria y ocasionalmente a las víctimas existentes como póliza de seguro contra versiones colapsadas o falsas del gusano que, de otro modo, podrían engañarlo para que evitara los ordenadores que parecían infectados pero no lo estaban. Morris decidió re-infectar a propósito los ordenadores 1/7 del tiempo, pero eso resultó ser demasiado agresivo. Por tanto, el gusano saturó rápidamente Internet infectando a las víctimas una y otra vez hasta que apenas hacían otra cosa que atacar a todos los demás.

Sin embargo, un ataque de tipo “mira y te infectarás” (look-and-get-pwned), también conocido como “instalación drive-by”, en el que el mero hecho de mirar una página web puede implantar malware de forma invisible, aunque no hagas clic en ningún botón adicional ni apruebes ninguna ventana emergente, es lo más parecido para un atacante.

Al fin y al cabo, se supone que tu navegador no descarga ni ejecuta programas no autorizados a menos que le des permiso explícitamente.

Como puedes imaginar, a los cibercriminales les encanta combinar un exploit de tipo “mira y te infectarás” con un segundo fallo de ejecución de código a nivel del núcleo para apoderarse por completo de tu ordenador o de tu teléfono.

Los exploits basados en el navegador suelen dar a los atacantes resultados limitados, como un malware que solo puede espiar tu navegación (por muy malo que eso sea por sí solo), o que no seguirá ejecutándose después de que tu navegador salga o tu dispositivo se reinicie.

Pero si el malware que los atacantes ejecutan a través de un agujero inicial en el navegador está codificado específicamente para explotar el segundo fallo de la cadena, entonces escapan inmediatamente de cualquier limitación o sandboxing implementado en la aplicación del navegador y se apoderan de todo tu dispositivo a nivel del sistema operativo.

Normalmente, eso significa que pueden espiar todas las aplicaciones que ejecutas, e incluso el propio sistema operativo, así como instalar su malware como parte oficial del procedimiento de inicio de tu dispositivo, sobreviviendo así de forma invisible y automática a cualquier reinicio de precaución que puedas realizar.

Más agujeros de malware en el iPhone que están siendo explotados activamente

Apple ha enviado actualizaciones completas del sistema, con nuevos números de versión, para todas las versiones del sistema operativo compatibles.

Tras esta última actualización, deberías tener los siguientes números de versión, como se documenta en los boletines de seguridad de Apple que se enumeran a continuación:

Además de incluir una solución permanente para el mencionado exploit CVE-2023-37450 (parcheando así a quienes se saltaron la Respuesta Rápida o tenían dispositivos más antiguos que no cumplían los requisitos), estas actualizaciones también se ocupan de este fallo:

Componente: Kernel

Impacto: una aplicación puede ser capaz de modificar estado del kernel. Apple tiene conocimiento de un informe de que este problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 15.7.1.

Descripción: este problema se ha solucionado con una gestión de estados mejorada.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), y Boris Larin (@oct0xor) de Kaspersky

Al igual que en nuestra reseña de las anteriores actualizaciones de Apple a nivel de sistema de finales de junio de 2023, los dos agujeros que han aparecido en la lista en esta ocasión se refieren a un fallo de WebKit y a un fallo del kernel. El fallo a nivel de WebKit se atribuye una vez más a “un investigador anónimo” y el fallo a nivel del kernel se atribuye una vez más a la empresa rusa de antivirus Kaspersky.

Por tanto, suponemos que estos parches están relacionados con el malware “Triangulation Trojan”, del que Kasperky informó por primera vez a principios de junio de 2023, después de que la empresa descubriera que iPhones pertenecientes a algunos de sus propios empleados habían sido infectados activamente con spyware.

¿Qué hacer?

Una vez más, te animamos a que te asegures de que tus dispositivos Apple han descargado (¡y realmente instalado!) estas actualizaciones tan pronto como puedas.

Aunque siempre te instamos a Parchear pronto/Parchear a menudo, las correcciones de estas actualizaciones no están ahí sólo para cerrar agujeros teóricos.

En este caso, estás cerrando fallos de ciberseguridad que los atacantes ya saben cómo explotar.

Aunque los delincuentes solo los hayan utilizado hasta ahora en un número limitado de ataques con éxito contra iPhone antiguos ¿por qué quedarse atrás cuando puedes estar al día?

Y si la protección contra “Triangulation Trojan” no es suficiente para convencerte por sí sola, no olvides que estas actualizaciones también parchean numerosos ataques teóricos que Apple y otros han encontrado de forma proactiva, incluidos agujeros de ejecución de código a nivel del núcleo, fallos de elevación de privilegios y fallos de fuga de datos.

Como siempre, dirígete a Ajustes > General > Actualización de Software para comprobar si has recibido e instalado correctamente este parche de emergencia, o para saltar al principio de la cola y recuperarlo de inmediato si no lo has hecho.

Nota. En los Mac más antiguos, comprueba si hay actualizaciones utilizando Acerca de este Mac > Actualización de software… en su lugar.