Microsoft ha compartido detalles de una falla ahora parcheada en Apple macOS que podría ser abusada por actores de amenazas con acceso de raíz para eludir las medidas de seguridad y realizar acciones arbitrarias en los dispositivos afectados.
Específicamente, la falla, denominada Migraña y rastreado como CVE-2023-32369, podría abusarse para eludir una medida de seguridad clave llamada Protección de integridad del sistema (SORBO), o «sin raíz», que limita las acciones que el usuario raíz puede realizar en archivos y carpetas protegidos.
«La implicación más directa de un bypass SIP es que […] un atacante puede crear archivos protegidos por SIP y, por lo tanto, imborrables por medios ordinarios», los investigadores de Microsoft Jonathan Bar Or, Michael Pearse y Anurag Bohra dicho.
Peor aún, podría explotarse para obtener la ejecución arbitraria de código del kernel e incluso acceder a datos confidenciales al reemplazar las bases de datos que administran las políticas de Transparencia, Consentimiento y Control (TCC).
La omisión es posible gracias a una herramienta integrada de macOS llamada Asistente de Migración para activar el proceso de migración a través de un AppleScript que está diseñado para lanzar finalmente una carga útil arbitraria.
Esto, a su vez, se debe al hecho de que systemmigrationd, el demonio que se usa para manejar la transferencia de dispositivos, viene con el derecho com.apple.rootless.install.heritable, lo que permite que todos sus procesos secundarios, incluidos bash y perl, eludan las comprobaciones SIP.
Como resultado, un actor de amenazas que ya tenga capacidades de ejecución de código como raíz podría activar systemmigrationd para ejecutar perl, que luego podría usarse para ejecutar un script de shell malicioso mientras el proceso de migración está en marcha.
Tras la divulgación responsable, Apple abordó la vulnerabilidad como parte de las actualizaciones (macOS Ventura 13.4, macOS Monterrey 12.6.6y macOS Big Sur 11.7.7) enviado el 18 de mayo de 2023.
El fabricante de iPhone describió CVE-2023-32369 como un problema de lógica que podría permitir que una aplicación maliciosa modifique partes protegidas del sistema de archivos.
Migraine es la última incorporación a la lista de omisiones de seguridad de macOS que se han documentado con los nombres Shrootless (CVE-2021-30892, puntaje CVSS: 5.5), powerdir (CVE-2021-30970, puntaje CVSS: 5.5) y Achilles ( CVE-2022-42821, puntuación CVSS: 5,5).
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
«Las implicaciones de los desvíos SIP arbitrarios son graves, ya que el potencial para los autores de malware es significativo», dijeron los investigadores.
«Omitir SIP podría tener consecuencias graves, como aumentar el potencial de los atacantes y los autores de malware para instalar con éxito rootkits, crear malware persistente y expandir la superficie de ataque para técnicas y exploits adicionales».
Los hallazgos llegan como Jamf Threat Labs revelado detalles de una falla de confusión de tipos en el kernel de macOS que podría ser armada por una aplicación no autorizada instalada en el dispositivo para ejecutar código arbitrario con privilegios de kernel.
Con la etiqueta ColdInvite (también conocida como CVE-2023-27930), la falla «puede explotarse para aprovechar el coprocesador con el fin de obtener privilegios de lectura/escritura en el kernel, lo que permite que un mal actor se acerque más a la realización de su objetivo final de comprometer completamente el dispositivo.»