CVE-2024-44243 macOS Vulnerability
A Microsoft revelou uma vulnerabilidade de segurança no Apple macOS que, se explorada, poderia ter permitido que um hacker com acesso root ignorasse a System Integrity Protection (SIP). Essa falha teria permitido a instalação não autorizada de drivers de kernel corrompidos por meio de extensões de kernel de terceiros, comprometendo significativamente a segurança do sistema.
Índice
Os Detalhes da CVE-2024-44243
A vulnerabilidade, identificada como CVE-2024-44243, tinha uma pontuação de gravidade CVSS de 5,5 e foi categorizada como um problema de risco médio. A Apple abordou essa falha na atualização do macOS Sequoia 15.2 no mês passado. A empresa descreveu isso como um "problema de configuração" que poderia permitir que um aplicativo inseguro modificasse áreas protegidas do sistema de arquivos, enfraquecendo efetivamente as principais proteções de segurança.
Os Riscos de Se Ignorar o SIP
System Integrity Protection, também conhecido como 'rootless', é um mecanismo de segurança fundamental do macOS projetado para evitar modificações não autorizadas em componentes críticos do sistema. Ao ignorar o SIP, os invasores podem instalar ameaças persistentes, como rootkits, evadir a estrutura Transparency, Consent, and Control (TCC) da Apple e abrir a porta para mais exploração.
Como o SIP Protege o macOS
O SIP funciona aplicando controles de acesso rigorosos sobre diretórios essenciais, incluindo /System, /usr, /bin, /sbin e /var. Ele limita modificações nessas áreas somente a processos assinados pela Apple com direitos específicos, como atualizações de software e instaladores de sistema. Essa proteção impede que usuários e invasores adulterem a funcionalidade principal do macOS.
Direitos do SIP: Uma Faca de Dois Gumes
A Apple fornece dois direitos SIP principais que regulam as modificações:
- com.apple.rootless.install : Concede permissão para ignorar as restrições do sistema de arquivos do SIP para um processo específico.
- com.apple.rootless.install.heritable: Estende a permissão de bypass para o processo e todos os seus processos filho.
Explorar esses direitos pode permitir que invasores anulem as proteções do SIP, tornando-se uma preocupação crítica de segurança.
A Exploração: Como os Invasores podem Ignorar o SIP
O bypass SIP recém-descoberto, semelhante a exploits anteriores como CVE-2021-30892 (Shrootless) e CVE-2023-32369 (Migraine), aproveita o direito 'com.apple.rootless.install.heritable' dentro do daemon Storage Kit do macOS (storagekitd).
Ao abusar da capacidade do storagekitd de iniciar processos arbitrários sem validação, os invasores poderiam introduzir um pacote de sistema de arquivos ameaçador em /Library/Filesystems. Isso permitiria que eles substituíssem binários vinculados ao Utilitário de Disco do macOS, disparando um ataque durante operações como reparo de disco. Além disso, um usuário root poderia explorar essa falha para executar código não autorizado, contornando completamente as proteções SIP.
As Descobertas de Segurança Contínuas da Microsoft
Esta descoberta segue o relatório anterior da Microsoft sobre outra vulnerabilidade do macOS na estrutura Transparency, Consent, and Control (TCC) (CVE-2024-44133, também conhecida como HM Surf). Essa falha, com a mesma pontuação CVSS de 5,5, pode ter sido explorada para acessar dados confidenciais do usuário. O direcionamento repetido das medidas de segurança do macOS destaca a necessidade de vigilância e aplicação de patches contínuos.
Panorama Geral: Por Que o SIP é Importante
Ao restringir extensões de kernel de terceiros, a Apple aprimora a estabilidade e a segurança do macOS. No entanto, ignorar o SIP compromete essas proteções, tornando o sistema vulnerável a ameaças avançadas. Se o SIP for desabilitado, as soluções de segurança também podem perder visibilidade, permitindo que invasores manipulem ou desabilitem ferramentas de segurança sem serem notados.
O Alvo Principal dos Atacantes
O SIP continua sendo um alvo de alto valor para pesquisadores de segurança e agentes de ameaças. Muitas das defesas de segurança da Apple assumem que o SIP não pode ser ignorado, tornando qualquer exploração um avanço significativo. Ataques bem-sucedidos podem permitir que hackers coloquem arquivos maliciosos em diretórios protegidos, ocultem atividades de ferramentas de segurança e ignorem completamente os prompts de segurança do macOS.
Permanecendo Protegido: Por Que as Atualizações são Essenciais
Os invasores são conhecidos por usar táticas de engenharia social para manipular usuários para conceder permissões desnecessárias. No entanto, uma exploração do SIP pode eliminar completamente a necessidade de interação do usuário. Dado o papel fundamental do SIP na segurança do macOS, a melhor defesa contra essas vulnerabilidades é garantir que o macOS esteja sempre atualizado. Instalar os patches de segurança da Apple assim que forem lançados é a maneira mais eficaz de evitar que invasores explorem essas falhas.