A Microsoft divulgou uma vulnerabilidade de segurança corrigida recentemente no macOS da Apple, identificada como CVE-2024-44243o que poderia permitir que um invasor operando com privilégios de root contornasse a Proteção de Integridade do Sistema (SIP) do sistema operacional e instalar drivers de kernel maliciosos por meio de extensões de kernel de terceiros.
Microsoft revela vulnerabilidade do macOS permitindo bypass SIP
Essa vulnerabilidade, avaliada com pontuação CVSS de 5,5 e classificada como de gravidade média, foi abordada pela Apple no macOS Sequoia 15.2, lançado no mês passado. A Apple classificou o problema como um “problema de configuração” que poderia permitir que um aplicativo malicioso alterasse áreas protegidas do sistema de arquivos.
De acordo com Jonathan Bar Or, da equipe Microsoft Threat Intelligence“Ignorar o SIP pode levar a consequências graves, como aumentar o potencial para invasores e autores de malware instalarem rootkits com sucesso, criarem malware persistente, ignorarem Transparência, Consentimento e Controle (TCC) e expandirem a superfície de ataque para técnicas e explorações adicionais. ”
O SIP, também conhecido como rootless, serve como uma estrutura de segurança para evitar que software malicioso interfira em componentes essenciais do macOS, incluindo diretórios como /System, /usr, /bin, /sbin, /var e aplicativos pré-instalados. O SIP impõe permissões estritas na conta root, permitindo modificações nessas áreas apenas por processos assinados pela Apple, incluindo atualizações de software da Apple.
Dois direitos principais associados ao SIP são: com.apple.rootless.install, que permite que um processo ignore as restrições do sistema de arquivos do SIP, e com.apple.rootless.install.heritable, que estende a mesma capacidade a todos os processos filhos do sistema inicial. processo.
A exploração do CVE-2024-44243 utiliza o direito “com.apple.rootless.install.heritable” nos recursos do daemon do Storage Kit (storagekitd) para contornar o SIP. Os invasores podem aproveitar a capacidade do storagekitd de invocar processos arbitrários sem verificações adequadas para introduzir um novo pacote de sistema de arquivos em /Library/Filesystems, levando à alteração de binários vinculados ao Utilitário de Disco. Isso pode ser ativado durante operações como reparo de disco.
Bar Or elaborou, afirmando: “Como um invasor que pode ser executado como root pode descartar um novo pacote de sistema de arquivos em /Library/Filesystems, ele pode posteriormente acionar o storagekitd para gerar binários personalizados, ignorando assim o SIP. Acionar a operação de apagamento no sistema de arquivos recém-criado também pode ignorar as proteções SIP.”
Esta revelação segue um relatório anterior da Microsoft detalhando outra vulnerabilidade na estrutura TCC do macOS, rastreada como CVE-2024-44133o que também coloca em risco a segurança dos dados do usuário. Bar Or observou que, embora o SIP melhore a confiabilidade do macOS, ele limita simultaneamente os recursos de supervisão das soluções de segurança.
Jaron Bradley, diretor do Threat Labs da Jamf, enfatizou a importância do SIP, afirmando que é um alvo principal tanto para pesquisadores quanto para invasores, com muitos dos protocolos de segurança da Apple baseados no SIP sendo invulneráveis. “Uma exploração do SIP poderia permitir que um invasor contornasse esses prompts, ocultasse arquivos maliciosos em áreas protegidas do sistema e potencialmente obtivesse acesso mais profundo”, acrescentou.
Os profissionais de segurança cibernética são incentivados a manter os sistemas macOS atualizados, pois o patch mais recente aborda essa vulnerabilidade crítica, que foi resolvida na atualização de segurança da Apple de 11 de dezembro. Sem o SIP, os invasores poderiam implantar rootkits ou malware persistente sem serem detectados, mesmo sem acesso físico às máquinas.
Os especialistas recomendam que as equipes de segurança monitorem atentamente os processos com direitos especiais que possam contornar o SIP. Mayuresh Dani, gerente de pesquisa de segurança da Qualys, sugeriu que “as equipes deveriam monitorar proativamente os processos com direitos especiais, pois estes podem ser explorados para contornar o SIP”.
Além disso, atividades incomuns de gerenciamento de disco e comportamentos atípicos de usuários privilegiados devem ser monitorados para reforçar a segurança contra esses tipos de ataques. Como ilustram vulnerabilidades como CVE-2024-44243, as organizações devem gerenciar com cautela extensões de kernel de terceiros e ativá-las apenas quando for absolutamente necessário, juntamente com protocolos de monitoramento rigorosos.
A falha descoberta pela Microsoft não apenas mostra uma continuidade nos problemas de segurança, mas também destaca as vulnerabilidades presentes no macOS, como a recente detecção do “Banshee” Malware infostealer, que supostamente evitou as medidas antivírus da Apple devido a um algoritmo de criptografia roubado.
A análise da Microsoft indica que esta falha específica surge do papel do daemon do Storage Kit na supervisão das operações do disco, permitindo possível exploração incorporando código personalizado em sistemas de arquivos de terceiros, incluindo Tuxera, Paragon, EaseUS e iBoysoft.
Crédito da imagem em destaque: Szabo Viktor/Unsplash
