Esta es la segunda vez que que veo que un periódico en castellano hace referencia al Internet Storm Center (ISC) del SANS Institute. Esto llama mi atención pues desde hace casi 6 años que conozco al SANS, pocas personas que no sean del país vecino o de habla inglesa, incluso personas e instituciones que no tengan como giro la seguridad informática, han usado como referencia confiable al SANS.

En esta ocasión el SANS publica una nota en donde alerta sobre la nueva vulnerabilidad de Leopard. En esta semana se ha generado mucha discusión en relación al tema de las descargas en Apple Safari para Windows. Sin embargo, se ha dejado un poco de lado la vulnerabilidad de Apple Remote Desktop la cual presenta mayor impacto pues existe la forma de escalar privilegios y causar daños considerables. Esta vulnerabilidad fue anunciada en Slashdot hace unos días. La esencia del problema es que la aplicación Apple Remote Desktop ejecuta comandos programados con “apple scripting lenguaje”; dichos comandos pueden ser ejecutados con el usuario “root”. Un intruso podría utilizar este recurso para ejecutar comandos y descargar aplicaciones o binarios especialmente modificados para causar daños en las victimas y obtener beneficios.

El Internet Storm Center atribuye el poco énfasis requerido a esta vulnerabilidad debido a que su explotación se da más de forma local que remota. El ISC puntualiza que este tipo de vulnerabilidad puede ser utilizado en una segunda fase de un ataque, ya que con ayuda de otra vulnerabilidad se accede al equipo, un ejemplo podría ser con un exploit remoto a través de un navegador Web o una vulnerabilidad en una aplicación a nivel usuario.

Hasta que Apple no publique una actualización, el ISC recomienda aplicar las recomendaciones que publica Slashdot o de forma más elegante, aplicar la solución que menciona Brian Krebs en el blog dedicado a la seguridad washingtonpost.com

Para verificar si un equipo es vulnerable, se requiere abrir una Terminal, la cual se encuentra dentro del directorio “Utilidades” la cual esta dentro del directorio “Aplicaciones”. Ejecutamos el siguiente comando:

osascript -e 'tell app "ARDAgent" to do shell script "whoami"'

Si la respuesta es: “root”, entonces el equipo es vulnerable.

Para ayudar a mitigar el problema, mientras que Apple no publica una actualización, se recomienda hacer lo siguiente:

$ sudo defaults write /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Info NSAppleScriptEnabled YES
$ sudo plutil -convert xml1 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Info.plist
$ sudo chmod 644 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Info.plist

Si ejecutamos el mismo comando con el que verificamos si un equipo es vulnerable, obtendremos lo siguiente:

$ osascript -e 'tell app "ARDAgent" to do shell script "whoami"' 23:47: execution error: ARDAgent got an error: "whoami" doesn't understand the do shell script message. (-1708)
$ osascript -e 'tell app "ARDAgent" to do shell script "whoami"' 23:47: execution error: ARDAgent got an error: "whoami" doesn't understand the do shell script message. (-1708)