Microsoft ha scoperto una vulnerabilità in macOS che permette di aggirare la System Integrity Protection (SIP) del sistema operativo attraverso il caricamento di estensioni del kernel di terze parti. Ciò consente ai cybercriminali di eseguire varie azioni pericolose, tra cui l’installazione di rootkit. L’azienda di Cupertino ha corretto il bug all’inizio di dicembre con macOS Sequoia 15.2.
Descrizione della vulnerabilità
La vulnerabilità CVE-2024-44243 è stata identificata ad agosto 2024. Era presente nel framework StorageKit e poteva essere sfruttata da un’app per modificare parti protette del file system, dopo aver aggirato SIP. Quest’ultimo è un meccanismo di macOS che limita i poteri dell’utente root. Non è possibile ad esempio caricare un driver arbitrario nel kernel.
Solo i processi firmati da Apple o quelli con specifici permessi (entitlements) possono modificare i componenti protetti del sistema operativo. Sfruttando la vulnerabilità presente nel demone storagekitd
che gestisce lo stato del disco era possibile sovrascrivere alcuni file, aggirare la System Integrity Protection e caricare estensioni del kernel (file .kext).
Per sfruttare la vulnerabilità è necessario l’accesso fisico al dispositivo e i privilegi root. Successivamente è possibile eseguire altre attività senza accesso locale, come installare rootkit (driver nel kernel), creare persistenza (invisibile) e aggirare la funzionalità Transparency, Consent and Control (TCC) per accedere ai dati sensibili dell’utente.
La patch è stata inclusa da Apple in macOS Sequoia 15.2. È necessario installare l’aggiornamento al più presto per limitare i rischi.