Vulnerabilidad parcheada de macOS Catalina dirigida a usuarios de Hong Kong

Google compartió el jueves detalles de una vulnerabilidad macOS Catalina recientemente parcheada que se dirigía a los usuarios que visitaban los sitios web de un medio de comunicación de Hong Kong y un grupo a favor de la democracia.

A fines de agosto, el Grupo Asesor de Amenazas (TAG) de Google descubrió un ataque de pozo de agua que parecía apuntar a personas interesadas en la política de Hong Kong, particularmente en temas prodemocracia. Este vector de ataque en particular no busca identificar a los usuarios, sino que se basa en técnicas para llevar las vulnerabilidades a una audiencia más amplia.

  

Los sitios afectados presentaron una vulnerabilidad de escalada de privilegios XNU, identificada como CVE-2021-30869, que no se actualizó en macOS Catalina, lo que permitió la instalación de una puerta trasera no informada previamente en las máquinas afectadas.

En el ataque se implementaron cadenas de vulnerabilidades conocidas de iOS y macOS. En el caso de macOS, el javascript que inició la cadena de exploits verificó si un sistema visitante estaba ejecutando macOS Mojave o Catalina antes de finalmente entregar una carga útil que escapó del sandbox de Safari. TAG recibió una cadena de exploits completa y no cifrada cuando visitaba el sitio con Catalina, pero solo observó un exploit parcial cuando usaba Mojave.

Una vez que se otorgó el acceso de root, la carga útil se ejecutó en segundo plano para recopilar información sobre el dispositivo de la víctima, realizar operaciones de captura de pantalla, descargar y cargar archivos, ejecutar comandos de terminal, grabar audio y registrar pulsaciones de teclas.

“Según nuestros hallazgos, creemos que este actor de amenazas es un grupo con buenos recursos, probablemente respaldado por el estado, con acceso a su propio equipo de ingeniería de software basado en la calidad del código de carga útil”, dice TAG.