I ricercatori di Microsoft hanno scoperto una nuova vulnerabilità in macOS, denominata Migraine, che potrebbe essere sfruttata per aggirare la System Integrity Protection (SIP) e modificare parti protette del file system. Il problema di sicurezza, indicato con CVE-2023-32369, è stato corretto da Apple con la patch rilasciata lo scorso 18 maggio.
Migraine: descrizione della vulnerabilità
SIP è una tecnologia di sicurezza che impedisce ad un utente root di eseguire operazioni in grado di compromettere il sistema. L’aggiramento della protezione consente di installare rootkit, creare malware persistenti ed estendere la superficie di attacco. Microsoft ha descritto la vulnerabilità Migraine in un post molto dettagliato.
Una delle funzionalità di SIP è quella di impedire la sovrascrittura di file e directory. Non c’è nessun modo per disattivare SIP su un sistema funzionante. È possibile solo tramite la modalità di ripristino e quindi l’accesso fisico al dispositivo. Solo i processi firmati da Apple e quelli che ottengono speciali privilegi (noti come entitlements) possono alterare i componenti protetti di macOS.
I ricercatori di Microsoft hanno scoperto che SIP può essere aggirato sfruttando l’utility Migration Assistant (da cui il nome della vulnerabilità) da un utente con accesso root. Ciò avviene tramite il demone systemmigrationd
che consente ai processi figli di aggirare SIP attraverso l’entitlement com.apple.rootless.install.heritable
.
L’exploit permette di avviare il trasferimento dei dati con Migration Assistant da remoto, utilizzando AppleScript e aggiungendo il payload alla lista esclusioni di SIP, senza riavviare il sistema o attivare la funzionalità di ripristino. Un cybercriminale potrebbe creare file (malware) protetti da SIP che non vengono rilevati dalle soluzioni di sicurezza. Fortunatamente Apple ha subito risolto la vulnerabilità.