Microsoft ha recentemente scoperto una vulnerabilità significativa nel sistema operativo macOS di Apple, identificata come CVE-2024-44243, che permetteva l'installazione di rootkit. Questo problema, che ha ricevuto un punteggio di 5.5 sulla scala CVSS, è stato risolto da Apple con la versione macOS Sequoia 15.2. La vulnerabilità consentiva a un attaccante con privilegi di root di eludere la Protezione dell'Integrità del Sistema (SIP) del macOS, caricando estensioni kernel di terze parti e modificando parti protette del file system.

SIP e la sua importanza

SIP è una misura di sicurezza fondamentale su macOS, progettata per prevenire che software malevolo alteri componenti cruciali del sistema operativo. Funziona imponendo restrizioni al conto utente root, consentendo modifiche solo a processi firmati da Apple con autorizzazioni speciali. Tuttavia, la vulnerabilità CVE-2024-44243 sfrutta un'errata configurazione nel daemon Storage Kit (storagekitd), che possiede il privilegio "com.apple.rootless.install.heritable", per aggirare le protezioni SIP.

Dettagli dell'exploit

In pratica, questo exploit approfitta della capacità di storagekitd di eseguire processi arbitrari senza adeguate validazioni, permettendo l'installazione di un nuovo bundle di file system in /Library/Filesystems. Questo consente di sovrascrivere i binari associati all'Utility Disco, che potrebbero essere attivati durante operazioni come la riparazione del disco, bypassando così le protezioni SIP.

Storia recente delle vulnerabilità

La scoperta di questa vulnerabilità è solo l'ultimo esempio di come i ricercatori e gli attaccanti siano costantemente alla ricerca di modi per sfruttare le falle del SIP. Infatti, la scorsa estate, Microsoft aveva già dettagliato un'altra vulnerabilità nel framework TCC di macOS, CVE-2024-44133, che poteva essere usata per accedere a dati sensibili.

Implicazioni di sicurezza

Il rischio di bypassare il SIP è considerevole, poiché compromette l'affidabilità dell'intero sistema operativo e riduce la capacità di monitoraggio delle soluzioni di sicurezza, permettendo ai malintenzionati di manipolare le difese del dispositivo. Pertanto, è cruciale per gli utenti mantenere sempre aggiornato il proprio sistema operativo per proteggersi da tali minacce.

La scoperta di Microsoft sottolinea l'importanza della collaborazione tra i grandi nomi della tecnologia per identificare e risolvere le vulnerabilità critiche che minacciano la sicurezza degli utenti. Se non affrontate prontamente, queste falle possono essere sfruttate per compromettere profondamente la sicurezza e l'affidabilità dei sistemi operativi moderni.