Una vulnerabilidad crítica en MacOS permite a los atacantes aumentar los privilegios para el acceso de raíz a través de servicios de demonios mal configurados.
La vulnerabilidad, denominada “Daemon Ex Plist”, explota las debilidades en cómo MacOS maneja los archivos de la lista de propiedades de servicio (PLIST) y se ha encontrado que afecta múltiples aplicaciones VPN populares y otros software.
Control de llave
1. MacOS Daemons dejados atrás en/biblioteca/lanzamiento de semons/con rutas de escritura.
2. Impacta numerosos clientes VPN y otras aplicaciones
3. Instale binarios de ayudante privilegiado y limpie las entradas de Daemon Plist.
MacOS Root Privilege Escalation
La vulnerabilidad proviene de la configuración inadecuada de los servicios de demonio macOS que se ejecutan con privilegios raíz.
Cuando se instalan aplicaciones, crean archivos PLIST en/biblioteca/lanzadorDaemons/que definen las configuraciones de servicio, incluida la ruta a los archivos ejecutables.
La falla crítica ocurre cuando estos archivos PLIST referen rutas ejecutables a las que los usuarios regulares pueden acceder o modificar. El problema se vuelve explotable cuando las aplicaciones están desinstaladas, pero deje sus archivos PLIST.
“Si el desarrollador no elimina manualmente los archivos PLIST de/biblioteca/lanzamiento de semons/, podemos explotar este supervisión”, PT Swarm informes.
El proceso de explotación implica crear un ejecutable malicioso en la ruta especificada en el archivo PLIST abandonado. Por ejemplo, una Plist vulnerable típica podría contener:
Los atacantes pueden compilar e implementar código malicioso utilizando comandos como:
Aplicaciones afectadas
La vulnerabilidad se ha confirmado en numerosas aplicaciones populares, y el software VPN es particularmente susceptible debido a su necesidad de acceso a nivel de sistema.
Las aplicaciones afectadas incluyen Mozilla VPN (V2.28.0), TunnelBlick (7.1Beta01 Build 6220), Pritunl (1.3.4220.57), Cloudflare WarP, ExpressVPN, Amnezia VPN (4.8.6.0), MULLVAD VPN (2025.7) y Red Shield VPN (3.5.7).
Más allá de las aplicaciones VPN, otras categorías de software también son vulnerables, incluidos OneDrive y Logitech G Hub.
Los investigadores señalaron que “varios otros proveedores también son vulnerables a este problema y aún no han publicado un parche”.
Para abordar esta vulnerabilidad, los desarrolladores deben reubicar los archivos ejecutables de Daemon a/biblioteca/privilegedHelperTools/, un directorio que requiere privilegios raíz para el acceso a la escritura. Esto evita que los usuarios regulares creen archivos maliciosos en estas ubicaciones.
Los usuarios pueden verificar si hay servicios potencialmente vulnerables examinando archivos en/biblioteca/lanzamiento de semons/usando el comando:
La vulnerabilidad destaca la importancia de la limpieza adecuada durante la desinstalación de la aplicación y la configuración segura de ruta para los servicios del sistema que se ejecutan con privilegios elevados.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}