Redazione RHC : 8 julio 2025 09:16
Expertos han identificado graves vulnerabilidades en SMBClient para macOS que afectan tanto al espacio de usuario como al núcleo del sistema operativo. Estas vulnerabilidades podrían permitir la ejecución remota de código arbitrario y la interrupción de procesos críticos del sistema. Durante el análisis, se evidenció que una amplia gama de usuarios está en riesgo, ya que, a partir de macOS Big Sur, el protocolo SMB se ha convertido en el método preferido para compartir archivos en la red.
SMBClient es un conjunto de componentes, que incluye tanto procesos de usuario como controladores del núcleo, diseñados para funcionar con sistemas de archivos accesibles a través de recursos de red. Una parte importante del código del cliente SMB interactúa directamente con el núcleo del sistema, lo que abre vectores de ataque adicionales. Además, las vulnerabilidades pueden explotarse con una mínima intervención del usuario: basta con obligar a una persona a seguir un enlace especialmente diseñado del tipo smb://.
La primera vulnerabilidad descubierta es CVE-2025-24269 (puntuación CVSS: 9,8) y está relacionada con el componente smbfs.kext, el controlador del kernel de macOS para usar SMB. El problema reside en la función de procesamiento de datos comprimidos smb2_rq_decompress_read, donde, en algunos casos, la longitud de los datos de entrada se verifica incorrectamente. Si se utiliza uno de los algoritmos de compresión compatibles (LZNT1, LZ77 o LZ77_Huffman), se lee el campo especial compress_len del paquete de red, pero su valor no se valida antes de copiar los datos al búfer compress_startp. Al mismo tiempo, la macro SMB_MALLOC_DATA, utilizada para asignar memoria, permite a un atacante controlar el tamaño del bloque asignado, que puede alcanzar hasta 16 megabytes.
Como resultado, se produce un desbordamiento de memoria dinámica en el montón de datos xnu, un área de la memoria del núcleo donde la presencia de punteros de control está limitada por mecanismos de protección adicionales, pero es imposible descartar por completo la posibilidad de explotar dicha vulnerabilidad. Los expertos señalan que para que un ataque tenga éxito, basta con convencer al usuario de que haga clic en un enlace malicioso smb://, lo que permitirá al atacante iniciar la interacción con el servidor vulnerable y activar la transmisión de paquetes especialmente diseñados.
La segunda vulnerabilidad, identificada como CVE-2025-24235 (puntuación CVSS: 5,5), afecta a la biblioteca Kerberos Helper utilizada para establecer una sesión SMB. Se detectó un error de seguridad clásico: la liberación de una variable de pila no inicializada. Al analizar los tokens de autenticación en la función _KRBDecodeNegTokenInit, puede producirse un error en la llamada interna a _gss_decapsulate_token. Sin embargo, incluso en este caso, el control se transfiere al bloque de liberación de memoria, donde la función _free_NegotiationToken opera con un área de pila no inicializada.
Investigaciones posteriores demostraron que el proceso de liberación de memoria llama a la función _asn1_free de la biblioteca Heimdal, diseñada para analizar y borrar estructuras ASN.1. Dado que la estructura que se va a liberar no se ha inicializado, existe el riesgo de acceso incontrolado a la memoria, lo que podría provocar la ejecución de código arbitrario en el dispositivo de la víctima. Un ataque exitoso puede lograrse mediante mecanismos de conexión estándar, como seguir un enlace smb:// o montar un recurso mediante mount_smbfs.
La tercera vulnerabilidad, aunque no tiene un identificador CVE oficial, se considera crítica. Está relacionado con una implementación incorrecta del mecanismo de registro del proceso mc_notifier en el módulo smbfs. Este servicio se encarga de las notificaciones cuando se desmontan los recursos de red. Un usuario con cualquier nivel de privilegio puede registrar un identificador de proceso arbitrario mediante la solicitud ioctl SMBIOC_UPDATE_NOTIFIER_PID. Si el recurso se desmonta, el núcleo del sistema enviará al proceso registrado una señal SIGTERM, que es la terminación estándar.
El problema radica en que el núcleo no comprueba los permisos del proceso que realiza la llamada ni la exactitud del identificador especificado. Esto permite a un atacante terminar casi todos los procesos del sistema, incluido el proceso crítico launchd, responsable de iniciar y administrar todos los servicios del usuario y del sistema. Como resultado, el sistema queda inoperativo y requiere un reinicio. Al mismo tiempo, para explotar esta vulnerabilidad, basta con tener acceso al dispositivo y poder abrir el dispositivo /dev/nsmb, lo cual es posible en la mayoría de los casos, incluso sin abandonar el aislamiento del usuario (sandbox).
Apple ya ha corregido las tres vulnerabilidades. En particular, se ha añadido una comprobación de la longitud del bloque de datos comprimidos a la función de procesamiento de paquetes SMB para evitar la posibilidad de un desbordamiento de memoria. Además, la biblioteca Kerberos Helper ahora limpia preventivamente la estructura NegotiationToken antes de usarla y liberarla, lo que impide la explotación de la falla. Para el mecanismo de registro mc_notifier, se ha implementado una verificación de permisos de usuario que llama al ioctl SMBIOC_UPDATE_NOTIFIER_PID, lo que elimina la posibilidad de una terminación incontrolada de procesos arbitrarios.
RedazioneEsta herramienta está diseñada exclusivamente para fines educativos y de pruebas de penetración autorizados. El autor no asume ninguna responsabilidad por el mal uso o los daños ca...
Recientemente, el popular foro clandestino exploit.in, actualmente cerrado y accesible solo por invitación, ha estado ofreciendo exploits para una vulnerabilidad de día cero que afecta a los...
Muchas personas desean comprender con precisión el fenómeno del ransomware, su significado, los métodos de violación y los delitos que lo rodean, y les cuesta encontrar informaci&#...
Autore: 5ar0m4n Data Pubblicazione: 7/11/2021 Abbiamo spesso affrontato l’argomento dei cavi sottomarini su RHC dove abbiamo parlato del primo cavo sottomarino della storia e dell’ultimo p...
Las autoridades españolas investigan a un hacker que filtró información sensible sobre funcionarios públicos y figuras políticas. Los datos publicados incluyen el supuesto n&#...
Para más información: [email protected]
