Los investigadores de seguridad de Microsoft han descubierto un exploit de macOS que puede alterar los permisos de TCC

Por qué es importante: Microsoft reveló públicamente el lunes una vulnerabilidad en macOS que podría usarse para acceder o robar datos confidenciales de los usuarios. La explotación se ve facilitada por una laguna en el marco de TCC. La plataforma TCC es parte de macOS que permite a los usuarios controlar qué aplicaciones pueden acceder a los datos, archivos y componentes de los usuarios.

El equipo de investigación de Microsoft 365 Defender llamó a la vulnerabilidad (CVE-2021-30970) «powerdir» después de un exploit creado por el investigador de Microsoft Jonathan Bar Or. Microsoft notificó a Cupertino sobre la brecha de seguridad en julio de 2021. Apple solucionó la falla en diciembre con macOS 11.6 y 12.1.

“Descubrimos que era posible cambiar mediante programación el directorio de inicio del usuario objetivo y crear una base de datos TCC falsa, que almacena el historial de aprobación de solicitudes de aplicaciones”, explicamos. Si se explota en sistemas sin parches, esta vulnerabilidad podría permitir que un actor potencialmente malicioso orqueste un ataque basado en datos personales protegidos del usuario. «

Los investigadores de seguridad de Microsoft descubrieron un archivo

Las capturas de pantalla muestran qué software otorga o accede al micrófono y la cámara. Sin embargo, TCC también mantiene la autorización para otros componentes, incluida la grabación de pantalla, Bluetooth, servicios de ubicación, contactos, fotos y más.

Si bien Microsoft creó el software específicamente para esta tarea, cualquier aplicación podría usar la misma tecnología para explotar el agujero. El atacante necesita acceso total al disco a la base de datos de TCC, que se puede otorgar a través de otros métodos. Una vez adquiridos, los piratas informáticos pueden establecer o restablecer los permisos de acceso como mejor les parezca.

READ  ¿Si algún SSD puede funcionar al final?

Powerdir es el tercer bypass TCC que se encuentra en los últimos dos años. Los otros dos (CVE-2020-9934 y CVE-2020-27937) se revelaron y repararon en 2020. Otra falla (CVE-2021-30713) descubierta el año pasado en todos los sistemas operativos de Apple permitió a los atacantes controlar arbitrariamente los permisos, que es This permitió a los piratas informáticos explotarlo activamente antes de que se parcheara en mayo.