Descubierto por Malwarebytes, este instalador se aprovecha de una vulnerabilidad en DYLD_PRINT_TO_FILE
que permite escribir en un archivo y posteriormente, ejecutarlo. En este caso el instalador ataca directamente el archivo sudoers
, tal como explicamos ayer en El caso del instalador falso de Safari que te clava MacKeeper, ZipCloud.
Sudoers
es el archivo de configuración de sudo
, generalmente ubicado en /etc/
en sistemas Linux y en OS X y se modifica a través del uso de visudo
en el Terminal. En este archivo se establece quién (usuarios) puede ejecutar qué (comandos) y de que modo (opciones), generando efectivamente una lista de control de acceso que puede ser tan detallada como se desee.
Bajo esta vulnerabilidad, lo que hace este instalador es modificar el archivo para añadir a la lista de acceso de éste comando tan crítico a un usuario que simplemente no debería estar allí.
Para comprobar la lista de usuarios dados de alta en sudoers, abre el Terminal en Aplicaciones > Utilidades y ejecuta el siguiente comando:
sudo cat /etc/sudoers
que te permite leer el archivo. Te pedirá la contra del administrador.
El texto que te aparecerá en la ventana del Terminal tiene dos partes: las especificaciones por defecto de sudo
y la lista de los usuarios con privilegios, que es la que nos interesa en esta ocasión.
La lista de usuarios, bajo la etiqueta
# User privilege specification
Debe mostrar solo dos resultados:
root ALL=(ALL) ALL %admin ALL=(ALL) ALL
Si hay algún usuario más que tu no has añadido, o no te suena haberlo añadido, sobre todo con la etiqueta adicional NOPASSWD apuntando a un proceso o a una ruta poco habitual es el momento de eliminarlo, borrando toda la línea en cuestión desde el Terminal ejecutando sudo visudo
.
Desafortunadamente todas las versiones de OS X son vulnerables a este problema pero también es necesario una acción directa del usuario para que el instalador se aproveche de esta vulnerabilidad por lo que no es nada recomendable descargar y ejecutar instaladores desde sitios web, correos electrónicos, etc. que no sean de total confianza.
Si te interesa, por cierto, modificar el comportamiento de sudo
para conseguir una ventana de privilegios más estrecha, dispones de este tutorial en Faq-mac
Muy bueno, Carlos.
Gracias por vigilar el muro mientras tus compatriotas descansamos.
Faq-mac debería cubrirlo la Seguridad Social.