Microsoft ha rivelato una vulnerabilità di sicurezza recentemente corretta nel macOS di Apple, identificata come CVE-2024-44243che potrebbe consentire a un utente malintenzionato che opera con privilegi di root di aggirare la protezione dell’integrità del sistema (SORSO) del sistema operativo e installare driver del kernel dannosi tramite estensioni del kernel di terze parti.
Microsoft rivela una vulnerabilità di macOS che consente il bypass SIP
Questa vulnerabilità, valutata con un punteggio CVSS di 5,5 e classificata come di gravità media, è stata risolta da Apple in macOS Sequoia 15.2, rilasciato il mese scorso. Apple ha classificato il problema come un “problema di configurazione” che potrebbe consentire a un’app dannosa di alterare le aree protette del file system.
Secondo Jonathan Bar Or del team Microsoft Threat Intelligence“Ignorare SIP potrebbe portare a gravi conseguenze, come aumentare la possibilità per gli aggressori e gli autori di malware di installare con successo rootkit, creare malware persistente, aggirare la trasparenza, il consenso e il controllo (TCC) ed espandere la superficie di attacco per ulteriori tecniche ed exploit. “
SIP, noto anche come rootless, funge da struttura di sicurezza per impedire che software dannoso manometta i componenti essenziali di macOS, incluse directory come /System, /usr, /bin, /sbin, /var e applicazioni preinstallate. SIP applica autorizzazioni rigorose all’account root, consentendo modifiche a queste aree solo tramite processi firmati da Apple, inclusi gli aggiornamenti software Apple.
Due diritti chiave associati a SIP sono: com.apple.rootless.install, che consente a un processo di aggirare le restrizioni del file system SIP, e com.apple.rootless.install.heritable, che estende la stessa capacità a tutti i processi figli del progetto iniziale processo.
Lo sfruttamento di CVE-2024-44243 utilizza il diritto “com.apple.rootless.install.heritable” nelle funzionalità del demone Storage Kit (storagekitd) per aggirare SIP. Gli aggressori possono sfruttare la capacità di storagekitd di invocare processi arbitrari senza controlli adeguati per introdurre un nuovo bundle di file system in /Library/Filesystems, portando all’alterazione dei file binari collegati all’Utility Disco. Questo potrebbe essere attivato durante operazioni come la riparazione del disco.
Bar Or ha spiegato, affermando: “Poiché un utente malintenzionato che può essere eseguito come root può rilasciare un nuovo bundle di file system su /Library/Filesystems, può successivamente attivare storagekitd per generare binari personalizzati, bypassando quindi SIP. L’attivazione dell’operazione di cancellazione sul file system appena creato può anche bypassare le protezioni SIP.”
Questa rivelazione fa seguito a un precedente rapporto di Microsoft che descriveva in dettaglio un’altra vulnerabilità nel framework TCC di macOS, tracciata come CVE-2024-44133che mette a rischio anche la sicurezza dei dati degli utenti. Bar Or ha osservato che, sebbene SIP migliori l’affidabilità di macOS, limita allo stesso tempo le capacità di supervisione delle soluzioni di sicurezza.
Jaron Bradley, direttore dei Threat Labs presso Jamf, ha sottolineato l’importanza di SIP, affermando che è un obiettivo primario sia per i ricercatori che per gli aggressori, poiché molti dei protocolli di sicurezza di Apple prevedono che SIP sia invulnerabile. “Un exploit di SIP potrebbe consentire a un utente malintenzionato di aggirare questi suggerimenti, nascondere file dannosi in aree protette del sistema e potenzialmente ottenere un accesso più approfondito”, ha aggiunto.
I professionisti della sicurezza informatica sono invitati a mantenere aggiornati i sistemi macOS, poiché l’ultima patch risolve questa vulnerabilità critica, che è stata risolta nell’aggiornamento di sicurezza Apple dell’11 dicembre. Senza SIP, gli aggressori potrebbero distribuire rootkit o malware persistente senza essere rilevati, anche senza accesso fisico alle macchine.
Gli esperti raccomandano che i team di sicurezza monitorino attentamente i processi con diritti speciali che potrebbero aggirare il SIP. Mayuresh Dani, responsabile della ricerca sulla sicurezza presso Qualys, ha suggerito che “i team dovrebbero monitorare in modo proattivo i processi con diritti speciali, poiché questi possono essere sfruttati per bypassare SIP”.
Inoltre, le attività insolite di gestione del disco e i comportamenti atipici degli utenti privilegiati dovrebbero essere monitorati per rafforzare la sicurezza contro questi tipi di attacchi. Come illustrano vulnerabilità come CVE-2024-44243, le organizzazioni dovrebbero gestire con cautela le estensioni del kernel di terze parti e abilitarle solo quando assolutamente necessario, insieme a rigorosi protocolli di monitoraggio.
La falla scoperta da Microsoft non solo mostra una continuità nei problemi di sicurezza ma evidenzia anche le vulnerabilità presenti all’interno di macOS, come il recente rilevamento del “Banshee” malware infostealer, che secondo quanto riferito ha eluso le misure antivirus di Apple grazie a un algoritmo di crittografia rubato.
L’analisi di Microsoft indica che questo specifico difetto deriva dal ruolo del demone Storage Kit nel supervisionare le operazioni del disco, consentendo un possibile sfruttamento incorporando codice personalizzato in file system di terze parti, tra cui Tuxera, Paragon, EaseUS e iBoysoft.
Credito immagine in primo piano: Szabo Viktor/Unsplash
