A Microsoft lançou luz sobre uma falha de segurança agora corrigida que afeta o Apple macOS.
Se explorada com sucesso, essa falha poderia permitir que um atacante operando como "root" burlasse a Proteção de Integridade do Sistema (SIP) do sistema operacional e instalasse drivers de kernel maliciosos, carregando extensões de kernel de terceiros.
A vulnerabilidade em questão é a
CVE-2024-44243
(pontuação CVSS: 5.5), um bug de gravidade média que foi corrigido pela Apple como parte do lançamento do macOS Sequoia 15.2 no mês passado.
A fabricante do iPhone descreveu-a como uma "questão de configuração" que poderia permitir que um aplicativo malicioso modificasse partes protegidas do sistema de arquivos.
"Burlar a SIP poderia levar a sérias consequências, como aumentar o potencial para atacantes e autores de malware instalarem rootkits com sucesso, criar malware persistente, burlar a Transparência, Consentimento e Controle (TCC) e expandir a superfície de ataque para técnicas e explorações adicionais", disse Jonathan Bar Or da equipe de Inteligência de Ameaças da Microsoft.
A SIP, também chamada de rootless, é um framework de segurança que visa impedir que softwares maliciosos instalados em um Mac manipulem as partes protegidas do sistema operacional, incluindo /System, /usr, /bin,/sbin, /var, e os aplicativos que vêm pré-instalados no dispositivo.
Ela funciona impondo várias proteções contra a conta de usuário root, permitindo a modificação dessas partes protegidas apenas por processos assinados pela Apple e com privilégios especiais para escrever em arquivos do sistema, como atualizações de software da Apple e instaladores da Apple.
As duas autorizações específicas para a SIP são:
- com.apple.rootless.install, que remove as restrições de sistema de arquivos da SIP para um processo com essa autorização
- com.apple.rootless.install.heritable, que remove as restrições de sistema de arquivos da SIP para um processo e todos os seus processos filhos herdando a autorização com.apple.rootless.install
A
CVE-2024-44243
, a mais recente vulnerabilidade de bypass da SIP descoberta pela Microsoft no macOS após a
CVE-2021-30892
(Shrootless) e
CVE-2023-32369
(Migraine), explora a autorização "com.apple.rootless.install.heritable" do daemon Storage Kit (storagekitd) para contornar as proteções da SIP.
Especificamente, isso é alcançado aproveitando-se da "capacidade do storagekitd de invocar processos arbitrários sem validação adequada ou redução de privilégios" para entregar um novo pacote de sistema de arquivos em /Library/Filesystems – um processo filho do storagekitd – e substituir os binários associados ao Utilitário de Disco, que poderiam ser acionados durante certas operações, como reparo de disco.
"Como um atacante que pode operar como root pode soltar um novo pacote de sistema de arquivos em /Library/Filesystems, eles podem, posteriormente, acionar o storagekitd para gerar binários personalizados, contornando assim a SIP", disse Bar Or.
Acionar a operação de apagar no novo sistema de arquivos criado pode contornar as proteções da SIP também.
A divulgação ocorre quase três meses depois de a Microsoft detalhar também outra falha de segurança no framework de Transparência, Consentimento e Controle (TCC) do macOS (
CVE-2024-44133
, pontuação CVSS: 5.5) – conhecida como HM Surf – que poderia ser explorada para acessar dados sensíveis.
"Proibir que códigos de terceiros sejam executados no kernel pode aumentar a confiabilidade do macOS, sendo o compromisso que reduz as capacidades de monitoramento para soluções de segurança", disse Bar Or.
Se a SIP for burlada, todo o sistema operacional não pode mais ser considerado confiável, e com a visibilidade de monitoramento reduzida, atores de ameaças podem manipular qualquer solução de segurança no dispositivo para evitar a detecção.
Jaron Bradley, diretor do Threat Labs na Jamf, disse que a SIP continua sendo um alvo cobiçado para pesquisadores de bugs e atacantes, e que muitas das medidas de segurança da Apple operam sob a suposição de que a SIP não pode ser burlada.
Isso também faz com que qualquer exploração bem-sucedida da SIP seja altamente significativa.
"Normalmente, os atacantes dependem de técnicas de engenharia social para enganar os usuários a interagirem com alguns dos prompts do sistema operacional", acrescentou Bradley.
No entanto, uma exploração da SIP poderia permitir que um atacante burlasse esses prompts, ocultasse arquivos maliciosos em áreas protegidas do sistema e potencialmente ganhasse acesso mais profundo.
Dada a implementação de baixo nível da SIP, a única maneira de os usuários se protegerem contra tais ataques é atualizar prontamente seu sistema operacional sempre que a Apple lançar uma correção de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...