Normalmente vistas como rivais, recentemente a Apple corrigiu uma vulnerabilidade descoberta pela Microsoft.
A Apple corrigiu recentemente uma vulnerabilidade que permite que invasores com privilégios de root ignorem a Proteção de System Integrity Protection (SIP, ou Proteção de Integridade do Sistema) para instalar malware “indelével” e acessar os dados privados da vítima contornando as verificações de segurança de Transparency, Consent, and Control (TCC, ou Transparência, Consentimento e Controle).
Descoberta e relatada à Apple por uma equipe de pesquisadores de segurança da Microsoft, a falha (apelidada de Migraine) agora é rastreada como CVE-2023-32369.
Apple corrigiu uma vulnerabilidade descoberta pela Microsoft
Sim. A Apple corrigiu a vulnerabilidade nas atualizações de segurança para macOS Ventura 13.4, macOS Monterey 12.6.6 e macOS Big Sur 11.7.7, lançadas há duas semanas, em 18 de maio.
A proteção de integridade do sistema (SIP), também conhecida como ‘sem raiz’, é um mecanismo de segurança do macOS que impede que softwares potencialmente maliciosos alterem determinadas pastas e arquivos, impondo restrições à conta do usuário root e seus recursos em áreas protegidas do sistema operacional.
O SIP opera sob o princípio de que apenas processos assinados pela Apple ou aqueles que possuem direitos especiais, como atualizações e instaladores de software da Apple, devem ser autorizados a alterar componentes protegidos pelo macOS.
Também é importante observar que não há um método para desabilitar o SIP sem reiniciar o sistema e inicializar o macOS Recovery (o sistema de recuperação integrado), o que requer acesso físico a um dispositivo já comprometido.
No entanto, os pesquisadores da Microsoft descobriram que os invasores com permissões de root podem ignorar a aplicação da segurança SIP abusando do utilitário macOS Migration Assistant, um aplicativo macOS integrado que usa o daemon systemmigrationd com recursos de desvio de SIP decorrentes de seu direito com.apple.rootless.install.heritable.
Os pesquisadores demonstraram que invasores com permissões de root podem automatizar o processo de migração com AppleScript e lançar uma carga maliciosa depois de adicioná-la à lista de exclusões do SIP sem reiniciar o sistema e inicializar a partir do macOS Recovery.
“Ao focar nos processos do sistema que são assinados pela Apple e têm o direito com.apple.rootless.install.heritable, encontramos dois processos filhos que podem ser adulterados para obter a execução arbitrária de código em um contexto de segurança que contorna as verificações SIP”, disse a equipe de inteligência de ameaças da Microsoft.
https://www.microsoft.com/en-us/videoplayer/embed/RW14MaR
Os desvios SIP arbitrários apresentam riscos significativos, especialmente quando explorados por criadores de malware, pois permitem que o código malicioso tenha efeitos de longo alcance, incluindo a criação de malware protegido por SIP que não pode ser removido por meio de métodos de exclusão padrão.
Eles também expandem muito a superfície de ataque e podem permitir que os invasores adulterem a integridade do sistema por meio da execução arbitrária do código do kernel e potencialmente instalem rootkits para ocultar processos e arquivos maliciosos do software de segurança.
Ignorar a proteção SIP também permite ignorar completamente as políticas de Transparência, Consentimento e Controle (TCC), permitindo que os agentes de ameaças substituam os bancos de dados TCC e obtenham acesso irrestrito aos dados privados da vítima.
Esta não é a primeira vulnerabilidade do macOS relatada por pesquisadores da Microsoft nos últimos anos, com outro desvio SIP apelidado de Shrootless relatado em 2021, permitindo que invasores executem operações arbitrárias em Macs comprometidos, aumentem privilégios para root e potencialmente instalem rootkits em dispositivos vulneráveis.
Mais recentemente, o principal pesquisador de segurança da Microsoft, Jonathan Bar Or, também encontrou uma falha de segurança conhecida como Achilles, que os invasores podem explorar para implantar malware por meio de aplicativos não confiáveis, capazes de contornar as restrições de execução do Gatekeeper.
Ele também descobriu o powerdir, outro bug de segurança do macOS que pode permitir que invasores ignorem a tecnologia Transparência, Consentimento e Controle (TCC) para acessar os dados protegidos dos usuários.
