I ricercatori di Microsoft hanno scoperto una vulnerabilità non in Windows ma in macOS, il sistema operativo utilizzato nei Mac, i computer Apple.
La falla, denominata Migraine ed elencata come CVE-2023-32369, consente agli hacker con privilegi di root di aggirare importanti misure di sicurezza e di accedere ai dati privati della vittima. La vulnerabilità è stata segnalata ad Apple dal team di Microsoft e da allora Apple ha rilasciato aggiornamenti di sicurezza per risolvere il problema. Questi aggiornamenti, rilasciati il 18 maggio, sono macOS Ventura 13.4, macOS Monterey 12.6.6 e macOS Big Sur 11.7.7. Non è la prima volta che Microsoft segnala una falla di questo tipo.
Il meccanismo di sicurezza in questione si chiama System Integrity Protection (SIP), o “rootless”. Impedisce a software potenzialmente pericolosi di modificare file e cartelle specifici imponendo restrizioni all’account utente root e alle sue capacità nelle aree protette del sistema operativo.
macOS è meno sicuro di quanto si possa pensare
SIP garantisce che solo i processi firmati da Apple o con diritti speciali possano apportare modifiche ai componenti protetti di macOS. La disabilitazione di SIP richiede il riavvio del sistema e l’avvio da macOS Recovery, operazione che può essere effettuata solo con l’accesso fisico a un dispositivo compromesso.
Tuttavia, i ricercatori di Microsoft hanno scoperto che i cybercriminali con diritti di accesso possono aggirare il SIP sfruttando l’utilità Assistente migrazione macOS. Utilizzando AppleScript per automatizzare il processo di migrazione e aggiungendo un payload dannoso all’elenco di esclusione di SIP, gli hacker possono eseguire il loro codice senza riavviare il sistema o da macOS Recovery.
L’aggiramento del SIP comporta rischi significativi, in quanto consente al codice dannoso di avere un impatto diffuso, compresa la creazione di malware che non può essere facilmente rimosso. Inoltre, amplia la superficie di attacco, consentendo potenzialmente agli aggressori di manomettere l’integrità del sistema, eseguire codice kernel arbitrario e installare rootkit per nascondere file dannosi.
Inoltre, l’aggiramento del protocollo SIP rende possibile anche l’aggiramento delle politiche di trasparenza, consenso e controllo (TCC), che proteggono i dati degli utenti. Gli aggressori possono bypassare i database TCC e ottenere accesso illimitato alle informazioni private della vittima.