Un test de seguridad para Dropbox revela tres vulnerabilidades de Zero-Day

En el mundo digital es habitual que una empresa contrate a otra con el fin de realizar pruebas de seguridad en sus servicios. El año pasado Dropbox contrató a una firma de seguridad para llevar a cabo una simulación de ciberataque en sus servicios sabiendo que era posible encontrar algunas vulnerabilidades de Zero-Day en los productos de Apple que podrían afectar más de una compañía. En un artículo publicado por Dropbox en un blog se explica cómo realizan simulaciones de ataques rutinarias para comprobar la efectividad de sus políticas y sistemas de seguridad. Con estos tests  Dropbox pretendía evaluar la capacidad de sus sistemas para detectar y realizar el seguimiento de una vulnerabilidad inesperada.

Para sorpresa de Dropbox la empresa de seguridad Syndis descubrió varias vulnerabilidades Zero-Day en el software de Apple. Cuando estas vulnerabilidades se explotan simultáneamente pueden permitir la ejecución de código arbitrario de forma remota en un macOS infectado a través de una página maliciosa. Estas vulnerabilidades fueron descubiertas por Syndis y Dropbox el 19 de febrero del pasado año y solucionadas en menos de un mes, con el lanzamiento del Securitty Update de Apple a finales de marzo del mismo año. Las vulnerabilidades que permiten la ejecución de código arbitrario se consideran críticas ya que permiten a los atacantes ejecutar los comandos que deseen remotamente en el equipo infectado.

“Hemos invertido un montón en el enrobustecimiento, la detección, la alerta y capacidad de respuesta en Dropbox. Incluso si un atacante logra acceder a varios sistemas sin hacer saltar ninguna alarma, disponemos de herramientas capaces de realizar un seguimiento de su trabajo de post explotación. Nuestras metas de testeo con este tipo de simulaciones es descubrir nuevos métodos de comprometer la seguridad de Dropbox. En el caso de no encontrar ninguna brecha durante nuestro análisis introducimos malware para simular sus efectos” Dijo Chris Evans, director de seguridad de Dropbox.

Figura 1: CVE-2018-4176

Cuando Syndis realizó su test descubrió que tres vulnerabilidades anteriormente desconocidas se podían combinar de tal manera que permitiesen la ejecución de código arbitrario en un equipo macOS vulnerable. La primera vulnerabilidad descubierta se encontraba en el CoreTypes.bundle, un listado de elementos que pueden abrirse desde Safari. En este caso la extensión .smi (self-mounting images) estaba asignada de manera incorrecta a CoreTypes y podía ser abierta por Safari. La segunda vulnerabilidad se relaciona con el funcionamiento de las Disk Images en macOS. La última consiste en un bypass al Gatekeeper de Mac a través de la modificación de una app legítima con la que era posible registrar nuevas extensiones asociadas al archivo. Sin duda una combinación peligrosa y que permitió a Syndis realizar una prueba de concepto en la que se activaba remotamente la calculadora de un equipo infectado.