El secuestro DLL ha plagado las máquinas Windows desde antes del año 2000 y proporciona a los atacantes cibernéticos una manera discreta de tener persistencia en una máquina vulnerable, o explotar de manera remota una aplicación.

Ahora ha llegado a Apple Mac OS X. Se espera que esta semana en la conferencia CanSecWest en Vancouver, el director de investigación SYNACK, Patrick Wardle, ofrezca una plática en la que explicará diferentes ataques que abusan de dylibs en OS X para obtener los mismos resultados que en Windows: la persistencia, procesos de inyección, evasión de seguridad (en el caso de Apple Gatekeeper) y la explotación remota.

"El secuestro de DLL ha estado persiguiendo a Windows por un tiempo, ha sido utilizado a través de software malicioso por un gran número de atacantes. Es un ataque bastante generalizado", dijo Wardle al sitio de noticias Threatpost. "Me preguntaba si era igual en OS X y encontré un ataque similar. Bajo el mismo concepto, hay diferencias técnicas, pero ofrece las mismas capacidades. Si se tiene una aplicación vulnerable en OS X, se puede abusar de ella de la misma manera que se ha abusado en Windows."

También se espera que Wardle libere parte de su código fuente para un escáner que detecte las aplicaciones que son vulnerables a su ataque. Al ejecutar su script de Python en su propia máquina OS X, Wardle fue capaz de encontrar 144 binarios vulnerables a los diferentes tipos de sus ataques de secuestro dylib, incluyendo Apple Xcode, iMovie y plugins de Quicktime, Microsoft Word, Excel y PowerPoint, y aplicaciones de terceros como Java, Dropbox, Herramientas GPG y plugins de Adobe.

"Windows es vulnerable al secuestro de DLL y ahora OS X es igualmente vulnerable a secuestro de dylib", dijo Wardle.

Con ataques DLL y dylib, el concepto es esencialmente el mismo: un atacante debe encontrar una manera de conseguir una librería maliciosa en un directorio que se cargue en el sistema operativo. Wardle explicó una de las facetas de su ataque, donde fue capaz de encontrar una vulnerabilidad en los binarios de Apply en su agente de Photostream que inicia automáticamente con iCloud.

"Es perfecto para la persistencia del atacante", dijo Wardle. "Copiar una dylib especialmente diseñada en el directorio donde busca PhotoStream cuando se inicia la aplicación, y la dylib del atacante se carga en el contexto del proceso. Es una manera sigilosa para ganar la persistencia; no se están creando nuevos procesos, ni modificando ningún archivo. El atacante está plantando una sola dylib y logra entrar".

En otro ataque, Wardle dijo que fue capaz de obtener la ejecución automática y persistencia de código a través de una inyección de procesos contra Xcode, entorno de desarrollo integrado de Apple.

"Mi software malicioso infecta Xcode y cada vez que un desarrollador implementa un nuevo binario, también se añadiría al código malicioso", dijo Wardle. "Es un vector de propagación anónima."

Wardle también pudo evadir remotamente la seguridad de Gatekeeper de Apple, que limita el software que puede ser descargado en una máquina de Apple y desde donde se realiza la descarga, además de proporcionar una protección antimalware. Su código dylib malicioso, dijo, se implanta en una descarga que debería ser bloqueada por Gatekeeper porque no está firmado desde el App Store de Apple. Gatekeeper, sin embargo, cargará el archivo malicioso remotamente permitiendo la ejecución del código, dijo Wardle.