CVE-2023-42931 Detección: Vulnerabilidad Crítica en macOS que Permite Escalamiento de Privilegios y Acceso Root Fácilmente
Tabla de contenidos:
Los investigadores de seguridad advierten de una vulnerabilidad crítica de escalada de privilegios en múltiples versiones de macOS que permite a usuarios no autorizados, incluidos aquellos con derechos de invitado, obtener acceso completo de root a la instancia afectada.
Detectar Intentos de Explotación de CVE-2023-42931
Con un aumento exponencial en los volúmenes de ataques y su sofisticación, se asume que el panorama de amenazas de 2024 será aún más desafiante que el año pasado. El costo de los ciberataques en la economía global se estima que superará los US$10.5 billones para finales de 2024. Teniendo en cuenta más de 29K nuevos CVEs descubiertos en 2023, con un aumento del 14,5% previsto para 2024, los profesionales de seguridad requieren soluciones avanzadas para detectar y defenderse de amenazas de manera proactiva.
Para ayudar a los profesionales de seguridad a detectar actividades maliciosas vinculadas a la explotación de CVE-2023-42931, la Plataforma SOC Prime para defensa cibernética colectiva ofrece una regla Sigma curada basada en el exploit de prueba de concepto (PoC) accesible públicamente en la web.
Posible Intento de Explotación de CVE-2023-42931 (Escalada de Privilegios en MacOS) (vía cmdline)
La regla anterior es compatible con 23 tecnologías SIEM, EDR, XDR, y Data Lake y está mapeada al marco de trabajo de MITRE ATT&CK v14.
Los defensores cibernéticos pueden sumergirse en toda la pila de detección destinada a la detección de explotación de vulnerabilidades para mejorar la eficiencia del SOC y suavizar las investigaciones de amenazas. Pulsa el Explorar Detecciones botón a continuación y profundiza en las extensas colecciones de reglas Sigma enriquecidas con metadatos relevantes. Específicamente, las reglas están acompañadas por enlaces CTI, referencias ATT&CK, recomendaciones de triaje, cronologías de ataques y más.
Análisis de CVE-2023-42931
Según el detallado análisis de Yann Gascuel de Alter Solutions, CVE-2023-42931 se origina a partir de una utilidad de línea de comandos “diskutil” que acepta opciones de montaje a través de los argumentos “-mountOptions”. Específicamente, cualquier actor local de amenazas, incluido aquel con derechos de invitado, puede montar sistemas de archivos con opciones específicas, elevando exitosamente los privilegios a root.
Específicamente, los adversarios podrían modificar un archivo propiedad de root en cualquier binario arbitrario deseado y agregarle el bit setuid aprovechando el parámetro diskutil -mountOptions para terminar con un sistema de archivos que tenga una bandera ¨noowners¨ . En consecuencia, esto resultaría en una escalada de privilegios cuando el archivo en el foco se volviera a montar en modo ¨owners¨.
Aunque la rutina parece bastante sencilla, el investigador de seguridad indica que la jerarquía moderna de disco/sistemas de archivos de macOS y las medidas de protección de System Integrity Protection (SIP) evitan modificaciones maliciosas de archivos sensibles del sistema a nivel del kernel. Sin embargo, Yann Gascuel ideó una ruta de exploit funcional para superar estas protecciones.
La vulnerabilidad CVE-2023-42931 afecta a macOS Monterey antes de la versión 12.7.2, macOS Ventura antes de la versión 13.6.3 y macOS Sonoma antes de la versión 14.2.Tras haberse informado del fallo al proveedor, Apple emitió un parche en las versiones de macOS Sonoma 14.2, Ventura 13.6.3, y Monterey 12.7.2.
El aumento de la sofisticación y el incremento exponencial en los volúmenes de ataques requieren una ultra-responsividad por parte de los defensores, respaldada por tecnologías innovadoras y defensa cibernética colectiva. Comienza con Uncoder IO, un IDE de código abierto para Ingeniería de Detección, que te ayudará a escribir código de detección más rápido y mejor contra amenazas emergentes, agilizar la coincidencia de IOC y traducir reglas en múltiples lenguajes de ciberseguridad sobre la marcha. Contribuye a Uncoder en GitHub para ayudarnos a evolucionar el proyecto y fomentar la colaboración a escala en la industria.
