AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Grave vulnerabilidad en macOS permite eludir controles TCC y exfiltrar datos sensibles, incluida Apple Intelligence

admin

#### Introducción

Una reciente vulnerabilidad en macOS, ya corregida por Apple, ha puesto en jaque la seguridad de los sistemas de la compañía al permitir a atacantes eludir los mecanismos de Transparencia, Consentimiento y Control (TCC). Este fallo ha abierto la puerta a la exfiltración de información sensible de usuario, incluyendo datos almacenados por Apple Intelligence, la nueva suite de funciones basadas en IA introducida en las últimas versiones del sistema operativo. El incidente subraya la importancia de mantener una postura de seguridad proactiva y resalta las crecientes amenazas sobre los entornos macOS, cada vez más presentes en entornos corporativos.

#### Contexto del Incidente o Vulnerabilidad

Apple implementó el marco TCC como una capa esencial de protección para gestionar los permisos de aplicaciones respecto al acceso a datos privados del usuario, como contactos, calendarios, cámara, micrófono y, ahora, datos procesados por Apple Intelligence. La vulnerabilidad, identificada y parcheada en las actualizaciones de seguridad de macOS Sonoma 14.5, Ventura 13.6.7 y Monterey 12.7.5, permitía a aplicaciones maliciosas evadir estos controles y acceder sin autorización a información protegida.

El fallo, catalogado bajo el identificador CVE-2024-27842, fue descubierto por investigadores de seguridad independientes. Su explotación resulta especialmente preocupante por el auge de Apple Intelligence, cuyos procesos y datos temporales pueden contener información crítica o sensible generada a partir de interacciones del usuario con la IA.

#### Detalles Técnicos

##### Identificador y descripción

– **CVE**: CVE-2024-27842
– **Software afectado**: macOS Sonoma (<=14.4), Ventura (<=13.6.6), Monterey (<=12.7.4)
– **Componente**: Transparency, Consent, and Control (TCC)
– **Tipo de vulnerabilidad**: Bypass de controles de permisos

##### Vector de ataque

El vector principal radica en la ejecución de código local por parte de aplicaciones maliciosas o troyanizadas, que aprovechan un fallo en la gestión de permisos TCC. Mediante técnicas de acceso indebido a bases de datos SQLite protegidas por TCC, el atacante puede modificar registros de permisos o suplantar aplicaciones legítimas.

Este tipo de ataque encaja en la táctica **“Defense Evasion”** del framework MITRE ATT&CK (T1562.001 – Impair Defenses: Disable or Modify Tools). Además, la exfiltración de datos corresponde a la técnica **“Exfiltration Over Alternative Protocol”** (T1048).

##### Indicadores de compromiso (IoC)

– Modificaciones sospechosas en los ficheros `TCC.db` ubicados en `/Library/Application Support/com.apple.TCC/`.
– Creación o alteración de registros de permisos para procesos no autorizados.
– Acceso no habitual a carpetas temporales de Apple Intelligence (`/private/var/folders/…/AppleIntelligence/`).

##### Herramientas y exploits conocidos

Aunque no se ha publicado exploit público, los investigadores han demostrado la viabilidad del ataque mediante scripts personalizados apoyados en frameworks como **Metasploit** para la fase de post-explotación y persistencia.

#### Impacto y Riesgos

La explotación de CVE-2024-27842 permite:

– Acceso no autorizado a datos personales (contactos, fotos, mensajes, documentos).
– Robo de información generada o procesada por Apple Intelligence (resúmenes, propuestas de texto, datos de usuario inferidos por IA).
– Potencial escalada de privilegios si el atacante combina el exploit con vulnerabilidades de elevación.
– Infracción grave de normativas de protección de datos como el **GDPR** o la directiva **NIS2**, con riesgo de sanciones económicas en caso de filtración.

La base instalada de macOS afectada es significativa: según StatCounter, macOS tiene una cuota de mercado del 17% en equipos de escritorio empresariales en Europa, lo que expone potencialmente millones de dispositivos.

#### Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** de macOS a las versiones Sonoma 14.5, Ventura 13.6.7 o Monterey 12.7.5.
– Auditoría de integridad de los ficheros `TCC.db` y monitorización de accesos a carpetas protegidas.
– Implementación de soluciones EDR que detecten manipulación de bases de datos TCC o acceso anómalo a procesos de Apple Intelligence.
– Restricción de instalación de software desde fuentes no verificadas y formación a usuarios sobre riesgos de aplicaciones no firmadas.
– Revisión y endurecimiento de políticas de permisos mediante MDM o Apple Configurator en entornos corporativos.

#### Opinión de Expertos

Según Javier Gómez, analista principal en ThreatHunters, “esta vulnerabilidad demuestra que ningún sistema, por robusto que sea, es inmune a fallos en la gestión de privilegios. El hecho de que Apple Intelligence almacene datos temporales susceptibles a robo incrementa el atractivo del vector para grupos de APT y cibercriminales”. Por su parte, Marta Ruiz, CISO de una gran entidad bancaria, añade: “La rapidez en el parcheo es clave, pero también lo es la visibilidad continua sobre la cadena de permisos y los procesos con acceso a datos sensibles”.

#### Implicaciones para Empresas y Usuarios

El incidente refuerza la necesidad de monitorizar de cerca los sistemas macOS, especialmente en organizaciones que manejan información crítica o están sujetas a regulación sectorial (finanzas, sanidad, administración pública). La integración de tecnologías IA como Apple Intelligence añade nuevas superficies de ataque y obliga a revisar procesos de seguridad y cumplimiento normativo.

Usuarios individuales deben ser conscientes de que la mera actualización del sistema no es suficiente si ya se ha producido una intrusión: es recomendable cambiar credenciales y revisar accesos recientes a información personal.

#### Conclusiones

La vulnerabilidad CVE-2024-27842 en macOS, ya solventada por Apple, ha puesto de relieve la importancia de la gestión de permisos y los nuevos riesgos asociados a la inteligencia artificial integrada en sistemas operativos. Para los equipos de seguridad, este incidente es un recordatorio de la necesidad de vigilancia activa, actualización constante y revisión periódica de políticas de control de acceso, en un entorno donde la sofisticación de las amenazas sigue en aumento.

(Fuente: www.bleepingcomputer.com)