Microsoft scopre una vulnerabilità in macOS: a rischio la protezione SIP
Microsoft Threat Intelligence ha identificato una vulnerabilità in macOS legata al System Integrity Protection (SIP). La falla, corretta da Apple con un aggiornamento di sicurezza, permetteva agli attaccanti di aggirare le protezioni del sistema operativo installando rootkit e malware persistenti.
Un’azienda come Microsoft non ambisce a migliorare esclusivamente la sicurezza dei suoi prodotti ma intende contribuire a contrastare le minacce informatiche globali. Sì, perché un sistema concorrente, immerso in una rete composta anche da sistemi Windows e Windows Server, può causare problemi in termini di sicurezza, riservatezza, disponibilità e integrità dei dati. Così, Microsoft Threat Intelligence, ha annunciato di aver scoperto un’importante vulnerabilità in Apple macOS.
macOS: cos’è System Integrity Protection (SIP)
System Integrity Protection (SIP) è una funzionalità di sicurezza integrata in macOS progettata per impedire ad applicazioni malevole di modificare file e cartelle specifiche del sistema operativo. Attraverso la limitazione dei privilegi dell’utente root all’interno delle aree protette, SIP consente solo ai processi firmati da Apple o dotati di particolari privilegi di effettuare modifiche sui componenti protetti del sistema.
Di recente Apple ha corretto una grave vulnerabilità che permetteva agli attaccanti di aggirare la protezione (SIP) e installare driver kernel dannosi attraverso l’utilizzo di estensioni di terze parti. Questo problema di sicurezza, classificato con l’identificativo CVE-2024-44243, rappresenta una minaccia significativa per l’ecosistema macOS.
Di norma, infatti, la disabilitazione di SIP richiede un riavvio del sistema e l’utilizzo della modalità di ripristino di macOS, un processo che implica la disponibilità fisica del dispositivo Apple.
I tecnici Microsoft hanno invece individuato una vulnerabilità nel daemon Storage Kit (storagekitd), responsabile della gestione dello stato dei dischi. In assenza della patch, un aggressore locale può sfruttare la falla per aggirare le restrizioni SIP.
Le possibili conseguenza di un attacco
Microsoft spiega che l’utilizzo di un exploit che va a buon fine può compare, sul sistema macOS, della vittima:
L’installazione di rootkit (driver kernel dannosi).
L’insediamento di malware persistente, difficile da rimuovere.
Il superamento dei controlli di sicurezza Transparency, Consent, and Control (TCC) imposti da Apple, con l’accesso ai dati personali degli utenti.
Interventi di Apple e implicazioni
Apple ha affrontato la vulnerabilità con un aggiornamento di sicurezza già distribuito agli utenti.
Secondo il resoconto elaborato da Microsoft, che nel frattempo ha fornito ulteriori dettagli sulla vulnerabilità CVE-2024-44243, “bypassare SIP influisce sulla sicurezza dell’intero sistema operativo, evidenziando la necessità di soluzioni di sicurezza complete in grado di rilevare comportamenti anomali da parte dei processi dotati di privilegi speciali“.
Vulnerabilità correlate: un trend preoccupante
Negli ultimi anni, i ricercatori Microsoft hanno individuato diverse vulnerabilità in macOS legate al SIP, tra cui:
- Shrootless (CVE-2021-30892): consentiva l’esecuzione di operazioni arbitrarie su Mac compromessi, inclusa l’installazione di rootkit.
- Migraine (CVE-2023-32369): un’altra vulnerabilità che facilitava il bypass del SIP.
- Achilles (CVE-2022-42821): sfruttabile per distribuire malware tramite app non attendibili che aggiravano le restrizioni di esecuzione di Gatekeeper.
- Powerdir (CVE-2021-30970): consentiva agli attaccanti di bypassare i controlli TCC per accedere ai dati protetti degli utenti macOS.
Credit immagine in apertura: iStock.com – Marcos Silva
