Microsoft ha scoperto una vulnerabilità in macOS che permette di aggirare la tecnologia SIP (System Integrity Protection) ed eseguire varie operazioni, ottenere i privilegi di root e installare rootkit. Dopo aver ricevuto la segnalazione dall’azienda di Redmond, Apple ha corretto il bug con gli aggiornamenti per Catalina, Big Sur e Monterey rilasciati il 26 ottobre.
Shrootless: vulnerabilità in macOS
SIP (System Integrity Protection) è una tecnologia che impedisce all’utente root di eseguire operazioni che possono compromettere l’integrità del sistema. Una delle restrizioni impedisce modifiche al file system, ovvero l’accesso a determinati file e directory. Queste limitazioni non sono valide per gli aggiornamenti che (ovviamente) devono accedere alle directory protette da SIP. Apple ha quindi assegnato “permessi speciali” (diritti di scrittura) ad alcuni processi firmati.
Microsoft ha scoperto la vulnerabilità Shrootless nella procedura di installazione dei pacchetti .pkg firmati da Apple. Quando viene avviata la procedura, macOS invoca il daemon system_installd
. Se il pacchetto include uno script post-installazione, il daemon invoca la shell predefinita zsh
che cerca il file /etc/zshenv
. Se trovato, zsh esegue i comandi presenti nel file in maniera automatica. Un malintenzionato deve solo creare un file /etc/zshenv
che contiene i comandi per accedere alle directory di sistema.
Aggirando la protezione SIP è possibile installare un rootkit, sovrascrivere i file di sistema e installare un malware persistente che non viene rilevato. Fortunatamente Apple ha subito eliminato la falla di sicurezza.