Microsoft ha revelado una vulnerabilidad de seguridad recientemente reparada en macOS de Apple, identificada como CVE-2024-44243lo que podría permitir a un atacante que opere con privilegios de root eludir la Protección de integridad del sistema (SORBO) del sistema operativo e instalar controladores de kernel maliciosos a través de extensiones de kernel de terceros.
Microsoft revela vulnerabilidad de macOS que permite omitir SIP
Esta vulnerabilidad, calificada con una puntuación CVSS de 5,5 y clasificada como de gravedad media, fue abordada por Apple en macOS Sequoia 15.2, lanzado el mes pasado. Apple categorizó el problema como un «problema de configuración» que podría permitir que una aplicación maliciosa altere áreas protegidas del sistema de archivos.
Según Jonathan Bar Or del equipo de Microsoft Threat Intelligence“Eludir SIP podría tener consecuencias graves, como aumentar la posibilidad de que atacantes y autores de malware instalen rootkits con éxito, creen malware persistente, eludan la Transparencia, Consentimiento y Control (TCC) y amplíen la superficie de ataque para técnicas y exploits adicionales. «
SIP, también conocido como rootless, sirve como marco de seguridad para evitar que software malicioso altere componentes esenciales de macOS, incluidos directorios como /System, /usr, /bin, /sbin, /var y aplicaciones preinstaladas. SIP aplica permisos estrictos en la cuenta raíz, permitiendo modificaciones en estas áreas solo mediante procesos firmados por Apple, incluidas las actualizaciones de software de Apple.
Dos derechos clave asociados con SIP son: com.apple.rootless.install, que permite que un proceso evite las restricciones del sistema de archivos de SIP, y com.apple.rootless.install.heritable, que extiende la misma capacidad a todos los procesos secundarios del inicial. proceso.
La explotación de CVE-2024-44243 utiliza el derecho “com.apple.rootless.install.heritable” en las capacidades del demonio del kit de almacenamiento (storagekitd) para eludir SIP. Los atacantes pueden aprovechar la capacidad de Storagekitd para invocar procesos arbitrarios sin comprobaciones adecuadas para introducir un nuevo paquete de sistema de archivos en /Library/Filesystems, lo que lleva a la alteración de los archivos binarios vinculados con la Utilidad de Discos. Esto podría activarse durante operaciones como la reparación del disco.
Bar Or explicó: “Dado que un atacante que puede ejecutarse como root puede colocar un nuevo paquete de sistema de archivos en /Library/Filesystems, luego puede activar Storagekitd para generar archivos binarios personalizados, evitando así SIP. Activar la operación de borrado en el sistema de archivos recién creado también puede eludir las protecciones SIP”.
Esta revelación sigue a un informe anterior de Microsoft que detalla otra vulnerabilidad en el marco TCC de macOS, rastreada como CVE-2024-44133lo que también pone en riesgo la seguridad de los datos del usuario. Bar Or señaló que si bien SIP mejora la confiabilidad de macOS, al mismo tiempo limita las capacidades de supervisión de las soluciones de seguridad.
Jaron Bradley, director de Threat Labs en Jamf, enfatizó la importancia de SIP, afirmando que es un objetivo principal tanto para investigadores como para atacantes, ya que muchos de los protocolos de seguridad de Apple se basan en que SIP sea invulnerable. «Un exploit de SIP podría permitir a un atacante eludir estas indicaciones, ocultar archivos maliciosos en áreas protegidas del sistema y potencialmente obtener un acceso más profundo», añadió.
Se insta a los profesionales de la ciberseguridad a mantener actualizados los sistemas macOS, ya que el último parche aborda esta vulnerabilidad crítica, que se resolvió en la actualización de seguridad de Apple del 11 de diciembre. Sin SIP, los atacantes podrían implementar rootkits o malware persistente sin ser detectados, incluso sin acceso físico a las máquinas.
Los expertos recomiendan que los equipos de seguridad supervisen atentamente los procesos con derechos especiales que podrían eludir SIP. Mayuresh Dani, gerente de investigación de seguridad de Qualys, sugirió que «los equipos deberían monitorear de manera proactiva los procesos con derechos especiales, ya que pueden explotarse para eludir SIP».
Además, se deben monitorear las actividades inusuales de administración de discos y los comportamientos atípicos de los usuarios privilegiados para reforzar la seguridad contra este tipo de ataques. Como lo ilustran vulnerabilidades como CVE-2024-44243, las organizaciones deben administrar con cautela las extensiones del kernel de terceros y habilitarlas solo cuando sea absolutamente necesario, junto con protocolos de monitoreo estrictos.
La falla descubierta por Microsoft no solo muestra una continuidad en los problemas de seguridad sino que también resalta las vulnerabilidades presentes dentro de macOS, como la reciente detección del “alma en pena”Malware de robo de información, que supuestamente evadió las medidas antivirus de Apple debido a un algoritmo de cifrado robado.
El análisis de Microsoft indica que esta falla específica surge del papel del demonio del kit de almacenamiento en la supervisión de las operaciones del disco, lo que permite una posible explotación mediante la incorporación de código personalizado en sistemas de archivos de terceros, incluidos Tuxera, Paragon, EaseUS e iBoysoft.
Crédito de la imagen destacada: Szabo Viktor/Unsplash
