A Apple recentemente corrigiu uma vulnerabilidade que permitia a atacantes com privilégios de root contornar a Proteção de Integridade do Sistema (SIP) para instalar malware "indeletável" e acessar os dados privados da vítima, burlando as verificações de segurança de Transparência, Consentimento e Controle (TCC).
Descoberta e relatada à Apple por uma equipe de pesquisadores de segurança da Microsoft, a falha (apelidada de Migraine) agora é rastreada como
CVE-2023-32369
.
A Apple corrigiu a vulnerabilidade em atualizações de segurança para macOS Ventura 13.4, macOS Monterey 12.6.6 e macOS Big Sur 11.7.7, lançadas duas semanas atrás, em 18 de maio.
A Proteção de Integridade do Sistema (SIP), também conhecida como 'rootless', é um mecanismo de segurança do macOS que impede que softwares potencialmente maliciosos alterem determinadas pastas e arquivos, impondo restrições na conta de usuário root e suas capacidades em áreas protegidas do sistema operacional.
O SIP opera sob o princípio de que apenas processos assinados pela Apple ou aqueles que possuem privilégios especiais, como atualizações e instaladores de software da Apple, devem ser autorizados a alterar componentes protegidos do macOS.
É importante observar que não há método para desativar o SIP sem reiniciar o sistema e iniciar a partir da Recuperação do macOS (o sistema de recuperação integrado) - o que requer ter acesso físico a um dispositivo já comprometido.
No entanto, os pesquisadores da Microsoft descobriram que atacantes com permissões de root poderiam contornar a execução de segurança do SIP abusando do utilitário Assistente de Migração do macOS, um aplicativo integrado do macOS que usa o daemon systemmigrationd com capacidades de contorno do SIP provenientes de seu privilégio com.apple.rootless.install.heritable.
Os pesquisadores demonstraram que atacantes com permissões de root poderiam automatizar o processo de migração com o AppleScript e lançar um payload malicioso após adicioná-lo à lista de exclusões do SIP sem reiniciar o sistema e iniciar a partir da Recuperação do macOS.
"Ao focar nos processos do sistema que são assinados pela Apple e têm o privilégio com.apple.rootless.install.heritable, encontramos dois processos filhos que poderiam ser adulterados para obter execução de código arbitrário em um contexto de segurança que contorna as verificações do SIP", disse a equipe de inteligência de ameaças da Microsoft.
As contornos arbitrários do SIP apresentam riscos significativos, especialmente quando explorados por criadores de malware, pois permitem que o código malicioso tenha efeitos de longo alcance, incluindo a criação de malware protegido pelo SIP que não pode ser removido por métodos de exclusão padrão.
Eles também ampliam muito a superfície de ataque e podem permitir que atacantes adulterem a integridade do sistema por meio da execução arbitrária de código do kernel e possivelmente instalem rootkits para ocultar processos e arquivos maliciosos de softwares de segurança.
Contornar a proteção do SIP também permite uma contornagem completa das políticas de Transparência, Consentimento e Controle (TCC), permitindo que atores de ameaças substituam bancos de dados do TCC e obtenham acesso irrestrito aos dados privados da vítima.
Esta não é a primeira vulnerabilidade do macOS relatada por pesquisadores da Microsoft nos últimos anos, com outro contorno do SIP apelidado de Shrootless relatado em 2021, permitindo que atacantes realizem operações arbitrárias em Macs comprometidos, obtenham privilégios de root e possivelmente instalem rootkits em dispositivos vulneráveis.
Mais recentemente, o pesquisador de segurança principal da Microsoft, Jonathan Bar Or, também encontrou uma falha de segurança conhecida como Achilles que os atacantes poderiam explorar para implantar malware por meio de aplicativos não confiáveis capazes de contornar as restrições de execução do Gatekeeper.
Ele também descobriu powerdir, outro bug de segurança do macOS que pode permitir que atacantes contornem a tecnologia de Transparência, Consentimento e Controle (TCC) para acessar dados protegidos dos usuários.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...