Microsoft ha compartido detalles sobre una vulnerabilidad ahora corregida en Apple macOS que podría ser aprovechada por actores de amenazas con acceso root para eludir las medidas de seguridad y realizar acciones arbitrarias en los dispositivos afectados.
Específicamente, la vulnerabilidad, llamada Migraine y rastreada como CVE-2023-32369, podría ser utilizada para evadir una medida de seguridad clave llamada System Integrity Protection (SIP), o "sin raíz", que limita las acciones que el usuario root puede realizar en archivos y carpetas protegidos.
"La implicación más directa de un bypass de SIP es que un atacante puede crear archivos protegidos por SIP y, por lo tanto, no se pueden eliminar de manera ordinaria", dijeron los investigadores de Microsoft Jonathan Bar Or, Michael Pearse y Anurag Bohra.
Aún peor, podría ser explotada para lograr una ejecución arbitraria de código de kernel e incluso acceder a datos sensibles mediante la sustitución de bases de datos que administran las políticas de Transparencia, Consentimiento y Control (TCC). El bypass es posible aprovechando una herramienta incorporada en macOS llamada Migration Assistant para activar el proceso de migración a través de un AppleScript diseñado para finalmente lanzar una carga útil arbitraria.
Esto se debe a que systemmigrationd, el daemon utilizado para manejar la transferencia de dispositivos, cuenta con la capacidad de instalación heredable com.apple.rootless.install, lo que permite que todos sus procesos secundarios, incluidos bash y perl, eludan las comprobaciones de SIP.
Como resultado, un actor de amenazas que ya tenga capacidades de ejecución de código como root podría activar systemmigrationd para ejecutar perl, que luego se utilizaría para ejecutar un script de shell malicioso mientras se lleva a cabo el proceso de migración.
Tras una divulgación responsable, Apple solucionó la vulnerabilidad como parte de las actualizaciones (macOS Ventura 13.4, macOS Monterey 12.6.6 y macOS Big Sur 11.7.7) enviadas el 18 de mayo de 2023. El fabricante del iPhone describió CVE-2023-32369 como un problema lógico que podría permitir que una aplicación maliciosa modifique partes protegidas del sistema de archivos.
Migraine es la última adición a la lista de bypass de seguridad de macOS que se han documentado con los nombres Shrootless (CVE-2021-30892, puntuación CVSS: 5.5), powerdir (CVE-2021-30970, puntuación CVSS: 5.5) y Achilles (CVE-2022-42821, puntuación CVSS: 5.5).
"Las implicaciones de los bypass arbitrarios de SIP son graves, ya que el potencial para los autores de malware es significativo", dijeron los investigadores. "Eludir SIP podría tener consecuencias graves, como aumentar la posibilidad de que los atacantes y los autores de malware instalen rootkits, creen malware persistente y amplíen la superficie de ataque para técnicas y exploits adicionales".
Estos hallazgos se producen cuando Jamf Threat Labs reveló detalles sobre una vulnerabilidad de confusión de tipos en el kernel de macOS que podría ser utilizada por una aplicación maliciosa instalada en el dispositivo para ejecutar código arbitrario con privilegios de kernel.
Denominada ColdInvite (también conocida como CVE-2023-27930), la vulnerabilidad "puede ser explotada para aprovechar el coprocesador y obtener privilegios de lectura/escritura en el kernel, lo que permite que un actor malintencionado se acerque a su objetivo final de comprometer completamente el dispositivo".
¿Quieres saber más?
Comments