Vulnerabilidad en Mac OS X permite a los hackers obtener acceso root con sólo resetear el reloj

OS X exploit

¿Creías que por estar utilizando un Mac de Apple, tus datos estaban a salvo de los hackers? Pues no, una cosa son los virus y otra los hackers, y respecto a estos últimos hay que decir que actualmente hay docenas de fallos de seguridad que permiten a los probadores de penetración y los hackers obtener acceso root.

El fallo identificado como CVE-2013-1775 fue mantenido en secreto por Apple durante los últimos cinco meses, y permite que los atacantes se salten los procedimientos de contraseña normales durante la autenticación con solo restablecer el reloj de la computadora al 1 de enero de 1970.

La razón por la que no se requiere la fecha se debe a que representa el principio del tiempo para el sistema operativo y algunas aplicaciones que se ejecutan en él. Cuando se utiliza el comando SUDO en combinación con un ajuste del reloj, la computadora puede ser rastreada para proporcionar acceso root sin contraseña.

Los autores de Metasploit incluso han creado un nuevo módulo que hacen que sea aun más fácil explotar el error, renovando el interés en el problema. El módulo gana una sesión con permisos de superusuario, siempre que el usuario ejecute el comando sudo antes y siempre que tenga derechos de administrador.

H.D. Moore, fundador de Metasploit, advirtió que se trataba de una vulnerabilidad grave: "El fallo es importante porque permite que un usuario de cualquier nivel se convierta en root, lo cual expone cosas como contraseñas de texto claro de llavero y hace posible que el intruso instale un rootkit permanente".

Además, el hacker tiene que tener acceso físico o remoto a la máquina. Apple aún tiene que responder o emitir un parche para el error. Como resultado, todas las versiones del sistema operativo desde OS X 10.7 hasta OS X 10.8.4 se ven afectadas.

La mayoría de los exploits recientes de Mac OS X han estado relacionados con Java, y fueron bloqueados completamente por Apple a principios de este año, esperamos que hagan lo mismo con este.

About Domadis Cabrera

Geek por naturaleza. Technorati por pasión. Emprendedor y amante del buen diseño. Disfruto probando cualquier cosa relacionada con la tecnología, da igual si es software o hardware. Viajero frecuente y amante de la adrenalina. Me divierte solucionar problemas y puedes seguirme en tu red social favorita, sólo tienes que buscarme por mi nombre.

Deja tu respuesta

d74ca0a187f0ec6b40686c25dcd3d262557c7e84d8ef45591f