Microsoft ha compartido detalles de una falla ahora parcheada en Apple macOS que podría ser abusada por actores de amenazas con acceso de raíz para eludir las medidas de seguridad y realizar acciones arbitrarias en los dispositivos afectados.
Específicamente, la falla, denominada Migraña y rastreada como CVE-2023-32369, podría abusarse para eludir una medida de seguridad clave llamada Protección de integridad del sistema ( SIP ), o «sin raíz», que limita las acciones que el usuario raíz puede realizar en protegidos. archivos y carpetas.
«La implicación más directa de una omisión de SIP es que […] un atacante puede crear archivos protegidos por SIP y, por lo tanto, imborrables por medios ordinarios», dijeron los investigadores de Microsoft Jonathan Bar Or, Michael Pearse y Anurag Bohra .
Peor aún, podría explotarse para obtener la ejecución arbitraria de código del kernel e incluso acceder a datos confidenciales al reemplazar las bases de datos que administran las políticas de Transparencia, Consentimiento y Control (TCC).
La omisión es posible gracias a una herramienta integrada de macOS llamada Asistente de migración para activar el proceso de migración a través de un AppleScript que está diseñado para, en última instancia, lanzar una carga útil arbitraria.
Esto, a su vez, se debe al hecho de que systemmigrationd, el daemon utilizado para manejar la transferencia de dispositivos, viene con el derecho com.apple.rootless.install.heritable, lo que permite que todos sus procesos secundarios, incluidos bash y perl, omitan las comprobaciones SIP.
Como resultado, un actor de amenazas que ya tenga capacidades de ejecución de código como raíz podría activar systemmigrationd para ejecutar perl, que luego podría usarse para ejecutar un script de shell malicioso mientras el proceso de migración está en marcha.
Tras la divulgación responsable, Apple abordó la vulnerabilidad como parte de las actualizaciones ( macOS Ventura 13.4 , macOS Monterey 12.6.6 y macOS Big Sur 11.7.7 ) enviadas el 18 de mayo de 2023.
El fabricante de iPhone describió CVE-2023-32369 como un problema de lógica que podría permitir que una aplicación maliciosa modifique partes protegidas del sistema de archivos.
Migraine es la última incorporación a la lista de omisiones de seguridad de macOS que se han documentado con los nombres Shrootless (CVE-2021-30892, puntaje CVSS: 5.5), powerdir (CVE-2021-30970, puntaje CVSS: 5.5) y Achilles ( CVE-2022-42821, puntuación CVSS: 5,5).
«Las implicaciones de los desvíos SIP arbitrarios son graves, ya que el potencial para los autores de malware es significativo», dijeron los investigadores.
«Omitir SIP podría tener consecuencias graves, como aumentar el potencial de los atacantes y los autores de malware para instalar con éxito rootkits, crear malware persistente y expandir la superficie de ataque para técnicas y exploits adicionales».
Los hallazgos se producen cuando Jamf Threat Labs reveló detalles de una falla de confusión de tipos en el kernel de macOS que podría convertirse en un arma mediante una aplicación no autorizada instalada en el dispositivo para ejecutar código arbitrario con privilegios de kernel.
Con la etiqueta ColdInvite (también conocida como CVE-2023-27930), la falla «puede explotarse para aprovechar el coprocesador con el fin de obtener privilegios de lectura/escritura en el kernel, lo que permite que un mal actor se acerque más a la realización de su objetivo final de comprometer por completo el dispositivo.»
Fuente y redacción: thehackernews.com