A principios de junio de 2023, la empresa rusa de ciberseguridad Kaspersky informó sobre una cepa de malware para iPhone desconocida hasta entonces.
Lo más destacable de la noticia original era su titular: Targeted attack on [Kaspersky] management with the Triangulation Trojan.
Aunque la empresa dijo finalmente: “Estamos seguros que Kaspersky no era el objetivo principal de este ciberataque”, la caza de amenazas que se le pidió que hiciera no fue en los dispositivos de los clientes, sino en los suyos propios.
No se requiere intervención del usuario
Dado que el malware se inyectaba aparentemente de forma silenciosa y automática en los dispositivos infectados, sin necesidad que los usuarios cometieran un error de seguridad o “pulsaran el botón equivocado” para dar al malware la oportunidad de activarse, era razonable suponer que los atacantes conocían uno o más exploits de día cero estrechamente protegidos que podían activarse a distancia a través de Internet.
Normalmente, el malware para iPhone, que puede comprometer un dispositivo entero, no solo viola las restricciones de Apple sobre las descargas de software restringidas al “jardín amurallado” de la propia App Store de Apple, sino que también elude la separación de aplicaciones de Apple, que se supone que limita el alcance (y, por tanto, el riesgo) de cada aplicación a un “jardín amurallado” propio, que contiene solo los datos recopilados por la aplicación.
Por lo general, eludir tanto las restricciones de la App Store como las normas de separación de aplicaciones significa encontrar algún tipo de fallo de día cero a nivel del kernel.
Esto se debe a que el kernel es responsable de toda la protección de “jardín amurallado” aplicada al dispositivo.
Por lo tanto, vulnerar el kernel generalmente significa que los atacantes consiguen eludir muchos o la mayoría de los controles de seguridad del dispositivo, lo que resulta en el tipo de compromiso más amplio y peligroso.
Actualización de emergencia
Pues bien, tres semanas después del artículo original de Kasperky, como una especie de regalo de solsticio del 2023-06-21, Apple ha publicado parches para todos sus dispositivos compatibles (excepto para los Apple TV con tvOS), que corrigen exactamente dos agujeros de seguridad críticos:
- CVE-2023-32439: confusión de tipos en WebKit. El procesamiento de contenido web malintencionado puede llevar a la ejecución de código arbitrario. Apple tiene conocimiento de un informe según el cual este problema puede haber sido explotado activamente. [Crédito otorgado a “un investigador anónimo”].
- CVE-2023-32434: desbordamiento de enteros en el kernel. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios del kernel. Apple tiene conocimiento de un informe según el cual este problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 15.7. [Créditos concedidos a Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) y Boris Larin (@oct0xor) de Kaspersky].
Curiosamente, aunque Apple se limita a afirmar que el día cero del kernel (que suponemos que está directamente relacionado con el ataque del troyano de triangulación de Kaspersky) “puede haber sido explotado en iOS antes de la versión 15.7”, todos los sistemas actualizados, incluido watchOS y las tres versiones compatibles de macOS, han sido parcheados contra este mismo agujero del kernel.
En otras palabras, todos los sistemas (con la posible excepción de tvOS, aunque es posible que simplemente no haya recibido una actualización todavía) son vulnerables, y es prudente suponer que, dado que los atacantes descubrieron cómo explotar el fallo en iOS, es posible que ya tengan una muy buena idea de cómo extender su ataque a otras plataformas de Apple.
¿Qué hay que hacer?
Parchear pronto, parchear a menudo.
O, si prefieres: No te demores/Hazlo hoy mismo.
Dirígete ahora mismo a Ajustes > General > Actualización de Software para comprobar que ya tienes los parches necesarios, o para descargarlos si no los tienes, y para empujar tu dispositivo a través del proceso de instalación de la actualización.
Forzamos la actualización de nuestro iPhone 16 y de nuestros sistemas (Intel) macOS 13 Ventura en cuanto aparecieron las actualizaciones; el proceso de instalación dejó nuestros dispositivos fuera de servicio para completar los parches durante aproximadamente 10 y 15 minutos respectivamente.
Ten en cuenta que en macOS 11 Big Sur y macOS 12 Monterey, en realidad recibirás dos actualizaciones, porque los parches para el mencionado fallo de WebKit están empaquetados en una actualización especial llamada Safari 16.5.1.
Una vez que hayas actualizado, aquí tienes los números de versión que debes buscar, junto con los boletines de Apple donde se describen oficialmente:
- Boletín HT213814: iOS 16.5.1 y iPadOS 16.5.1
- Boletín HT213811: iOS 15.7.7 y iPadOS 15.7.7
- Boletín HT213813: macOS Ventura 13.4.1
- Boletín HT213810: macOS Monterey 12.6.7
- Boletín HT213809: macOS Big Sur 11.7.8
- Boletín HT213816: Safari 16.5.1
- Boletín HT213812: watchOS 9.5.2
- Boletín HT213808: watchOS 8.8.1
Dejar un comentario