Microsoft ha arrojado luz sobre una falla de seguridad ahora parcheada que afecta a Apple macOS y que, si se hubiera explotado con éxito, podría haber permitido a un atacante que se ejecuta como “root” eludir la Protección de Integridad del Sistema del sistema operativo (SORBO) e instalar controladores de kernel maliciosos cargando extensiones de kernel de terceros.
La vulnerabilidad en cuestión es CVE-2024-44243 (Puntuación CVSS: 5,5), un error de gravedad media que Apple solucionó como parte de macOS Secuoya 15.2 lanzado el mes pasado. El fabricante del iPhone lo describió como un “problema de configuración” que podría permitir que una aplicación maliciosa modifique partes protegidas del sistema de archivos.
“Eludir SIP podría tener consecuencias graves, como aumentar la posibilidad de que atacantes y autores de malware instalen rootkits con éxito, creen malware persistente, eludan la Transparencia, Consentimiento y Control (TCC) y amplíen la superficie de ataque para técnicas y exploits adicionales”. Jonathan Bar Or del equipo de Microsoft Threat Intelligence dicho.
SIP, también llamado rootless, es un marco de seguridad cuyo objetivo es evitar que el software malicioso instalado en una Mac altere las partes protegidas del sistema operativo, incluidas /System, /usr, /bin, /sbin, /var y las aplicaciones que vienen preinstaladas en el dispositivo.
Funciona aplicando varias protecciones contra la cuenta de usuario raíz, permitiendo la modificación de estas partes protegidas solo mediante procesos firmados por Apple y que tienen derechos especiales para escribir en archivos del sistema, como actualizaciones de software e instaladores de Apple.
Los dos derechos específicos de SIP se encuentran a continuación:
- com.apple.rootless.install, que elimina las restricciones del sistema de archivos SIP para un proceso con este derecho
- com.apple.rootless.install.heritable, que elimina las restricciones del sistema de archivos SIP para un proceso y todos sus procesos secundarios al heredar el derecho com.apple.rootless.install
CVE-2024-44243, la última derivación SIP descubierta por Microsoft en macOS después de CVE-2021-30892 (Shrootless) y CVE-2023-32369 (Migraine), explota el demonio del kit de almacenamiento (storagekitd) “com.apple.rootless.install Derecho “heredable” para eludir las protecciones SIP.
Específicamente, esto se logra aprovechando la “capacidad de Storagekitd para invocar procesos arbitrarios sin una validación adecuada o sin perder privilegios” para entregar un nuevo paquete de sistema de archivos a /Library/Filesystems (un proceso secundario de Storagekitd) y anular los archivos binarios asociados con el disco. Utilidad, que luego podría activarse durante determinadas operaciones, como la reparación del disco.
“Dado que un atacante que puede ejecutarse como root puede colocar un nuevo paquete de sistema de archivos en /Library/Filesystems, luego puede activar Storagekitd para generar archivos binarios personalizados, evitando así SIP”, dijo Bar Or. “Activar la operación de borrado en el sistema de archivos recién creado también puede eludir las protecciones SIP”.
La divulgación se produce casi tres meses después de que Microsoft también detallara otra falla de seguridad en el marco de Transparencia, Consentimiento y Control (TCC) de Apple en macOS (CVE-2024-44133, puntuación CVSS: 5.5), también conocido como HM Surf, que podría explotarse para acceder. datos sensibles.
“Prohibir la ejecución de código de terceros en el kernel puede aumentar la confiabilidad de macOS, con la desventaja de que reduce las capacidades de monitoreo de las soluciones de seguridad”, dijo Bar Or.
“Si se omite SIP, todo el sistema operativo ya no puede considerarse confiable y, con una visibilidad de monitoreo reducida, los actores de amenazas pueden alterar cualquier solución de seguridad en el dispositivo para evadir la detección”.
About the Author
