Microsoft ha revelado detalles sobre una vulnerabilidad previamente parcheada en Apple macOS que podría ser aprovechada por actores maliciosos con acceso de raíz para evadir las medidas de seguridad y llevar a cabo acciones arbitrarias en los dispositivos afectados.
La vulnerabilidad, conocida como "Migraña" y rastreada como CVE-2023-32369, permite eludir una medida de seguridad importante llamada Protección de integridad del sistema (SIP), también conocida como "sin raíz". Esta medida limita las acciones que el usuario raíz puede realizar en archivos y carpetas protegidos.
Los investigadores de Microsoft, Jonathan Bar Or, Michael Pearse y Anurag Bohra, explicaron que una omisión de SIP permitiría a un atacante crear archivos protegidos por SIP, lo que los hace imborrables por métodos convencionales. Además, esta vulnerabilidad podría explotarse para ejecutar código arbitrario del kernel y acceder a datos confidenciales al reemplazar las bases de datos que gestionan las políticas de Transparencia, Consentimiento y Control (TCC).
SIP es una tecnología de seguridad en macOS que impide que un usuario root realice operaciones que puedan comprometer la integridad del sistema. Omitir SIP podría tener consecuencias graves, como aumentar el potencial de los atacantes y los autores de malware para instalar rootkits, crear malware persistente y expandir la superficie de ataque para técnicas y exploits adicionales.
La omisión de SIP es posible gracias a una herramienta integrada en macOS llamada Asistente de migración, que activa el proceso de migración mediante un AppleScript diseñado para ejecutar una carga útil arbitraria. Esto se debe a que systemmigrationd, el demonio utilizado para manejar la transferencia de dispositivos, tiene derechos especiales (com.apple.rootless.install.heritable), lo que permite a sus procesos secundarios, como bash y perl, eludir las comprobaciones de SIP.
De esta manera, un actor malicioso con acceso de raíz puede activar systemmigrationd para ejecutar perl, que a su vez podría utilizarse para ejecutar un script de shell malicioso mientras el proceso de migración está en curso.
Apple ha abordado la vulnerabilidad después de una divulgación responsable, mediante actualizaciones enviadas el 18 de mayo de 2023, incluidas en macOS Ventura 13.4, macOS Monterey 12.6.6 y macOS Big Sur 11.7.7. La empresa describe CVE-2023-32369 como un problema de lógica que permitía a una aplicación maliciosa modificar partes protegidas del sistema de archivos.
Migraine se suma a la lista de omisiones de seguridad en macOS, que incluye Shrootless (CVE-2021-30892), powerdir (CVE-2021-30970) y Achilles (CVE-2022-42821).
Los investigadores advierten sobre las graves implicaciones de estas omisiones de SIP, ya que aumentan el potencial para que los autores de malware instalen rootkits, creen malware persistente y expandan la superficie de ataque para realizar técnicas y exploits adicionales.
Estos hallazgos se producen en un contexto en el que Jamf Threat Labs reveló detalles sobre una vulnerabilidad de confusión de tipos en el kernel de macOS, denominada ColdInvite (CVE-2023-27930). Esta falla podría convertirse en un arma a través de una aplicación no autorizada instalada en el dispositivo, permitiendo la ejecución de código arbitrario con privilegios de kernel y acercando a los actores maliciosos a comprometer completamente el dispositivo.
SIP: https://support.apple.com/en-us/HT204899
https://www.microsoft.com/en-us/security/blog/2023/05/30/new-macos-vulnerability-migraine-could-bypass-system-integrity-protection/
