Vulnerabilità macOS CVE-2024-44243
Microsoft ha rivelato una vulnerabilità di sicurezza in Apple macOS che, se sfruttata, avrebbe potuto consentire a un hacker con accesso root di bypassare System Integrity Protection (SIP). Questa falla avrebbe consentito l'installazione non autorizzata di driver kernel corrotti tramite estensioni kernel di terze parti, compromettendo significativamente la sicurezza del sistema.
Sommario
I dettagli di CVE-2024-44243
La vulnerabilità, identificata come CVE-2024-44243, aveva un punteggio di gravità CVSS di 5,5 ed è stata classificata come un problema a rischio medio. Apple ha affrontato questo difetto nell'aggiornamento macOS Sequoia 15.2 il mese scorso. L'azienda lo ha descritto come un "problema di configurazione" che potrebbe consentire a un'applicazione non sicura di modificare aree protette del file system, indebolendo di fatto le protezioni di sicurezza principali.
I rischi del bypass del SIP
System Integrity Protection, noto anche come "rootless", è un meccanismo di sicurezza fondamentale di macOS progettato per impedire modifiche non autorizzate ai componenti critici del sistema. Bypassando SIP, gli aggressori potrebbero installare minacce persistenti come i rootkit, eludere il framework Transparency, Consent, and Control (TCC) di Apple e aprire la porta a ulteriori sfruttamenti.
Come SIP protegge macOS
SIP funziona applicando rigidi controlli di accesso alle directory essenziali, tra cui /System, /usr, /bin, /sbin e /var. Limita le modifiche a queste aree solo ai processi firmati da Apple con diritti specifici, come gli aggiornamenti software e gli installatori di sistema. Questa protezione impedisce sia agli utenti che agli aggressori di manomettere le funzionalità principali di macOS.
Diritti SIP: un'arma a doppio taglio
Apple fornisce due diritti SIP chiave che regolano le modifiche:
- com.apple.rootless.install : concede l'autorizzazione a bypassare le restrizioni del file system SIP per un processo specifico.
- com.apple.rootless.install.heritable: estende l'autorizzazione di bypass al processo e a tutti i suoi processi figlio.
Sfruttando questi diritti, gli aggressori potrebbero riuscire a eludere le protezioni SIP, il che costituirebbe un problema critico per la sicurezza.
L'Exploit: come gli aggressori potrebbero bypassare SIP
Il bypass SIP appena scoperto, simile a exploit passati come CVE-2021-30892 (Shrootless) e CVE-2023-32369 (Migraine), sfrutta il diritto 'com.apple.rootless.install.heritable' all'interno del daemon Storage Kit di macOS (storagekitd).
Abusando della capacità di storagekitd di avviare processi arbitrari senza convalida, gli aggressori potrebbero introdurre un bundle di file system minaccioso in /Library/Filesystems. Ciò consentirebbe loro di sovrascrivere i binari collegati a Disk Utility di macOS, innescando un attacco durante operazioni come la riparazione del disco. Inoltre, un utente root potrebbe sfruttare questa falla per eseguire codice non autorizzato, aggirando completamente le protezioni SIP.
I risultati continui di Microsoft sulla sicurezza
Questa scoperta segue il precedente rapporto di Microsoft su un'altra vulnerabilità di macOS nel framework Transparency, Consent, and Control (TCC) (CVE-2024-44133, noto anche come HM Surf). Tale difetto, con lo stesso punteggio CVSS di 5,5, avrebbe potuto essere sfruttato per accedere a dati utente sensibili. Il ripetuto targeting delle misure di sicurezza di macOS evidenzia la necessità di vigilanza e patching continui.
Il quadro generale: perché SIP è importante
Limitando le estensioni kernel di terze parti, Apple migliora la stabilità e la sicurezza di macOS. Tuttavia, bypassare SIP compromette queste protezioni, rendendo il sistema vulnerabile a minacce avanzate. Se SIP è disabilitato, anche le soluzioni di sicurezza potrebbero perdere visibilità, consentendo agli aggressori di manipolare o disabilitare gli strumenti di sicurezza senza essere notati.
Un obiettivo primario per gli aggressori
SIP rimane un obiettivo di alto valore sia per i ricercatori di sicurezza che per gli attori delle minacce. Molte delle difese di sicurezza di Apple presumono che SIP non possa essere aggirato, rendendo qualsiasi exploit una svolta significativa. Gli attacchi riusciti potrebbero consentire agli hacker di posizionare file dannosi in directory protette, nascondere l'attività agli strumenti di sicurezza e aggirare completamente i prompt di sicurezza di macOS.
Mantenere la protezione: perché gli aggiornamenti sono essenziali
È noto che gli aggressori utilizzano tattiche di ingegneria sociale per manipolare gli utenti affinché concedano permessi non necessari. Tuttavia, un exploit di SIP potrebbe eliminare del tutto la necessità di interazione con l'utente. Dato il ruolo fondamentale di SIP nella sicurezza di macOS, la migliore difesa contro tali vulnerabilità è garantire che macOS sia sempre aggiornato. Installare le patch di sicurezza di Apple non appena vengono rilasciate è il modo più efficace per impedire agli aggressori di sfruttare queste falle.