Microsoft ha compartido detalles de una falla, ahora parcheada en Apple macOS que podría ser ciberdelincuentes con acceso de raíz para eludir las medidas de seguridad y realizar acciones en los dispositivos afectados.
Específicamente, los ciberatacantes podrían eludir una medida de seguridad clave llamada Protección de integridad del sistema (SIP), que limita las acciones que el usuario root puede realizar en ficheros y carpetas protegidas. Esto lo podrían realizar aprovechando una falla denominada Migraine y registrada como CVE-2023-32369.
«La implicación más directa de una omisión de SIP es que un atacante puede crear archivos protegidos por SIP y, por lo tanto, imborrables por medios ordinarios», dijeron los investigadores de Microsoft Jonathan Bar Or, Michael Pearse y Anurag Bohra.
Peor aún, podría explotarse para obtener la ejecución arbitraria de código del kernel e incluso acceder a datos confidenciales al reemplazar las bases de datos que administran las políticas de Transparencia, Consentimiento y Control (TCC).
La omisión es posible gracias a una herramienta integrada de macOS llamada Asistente de migración para activar el proceso de migración a través de un AppleScript que está diseñado para, en última instancia, lanzar una carga útil arbitraria.
Esto, a su vez, se debe al hecho de que systemmigrationd, el daemon que se usa para manejar la transferencia de dispositivos, viene con el derecho com.apple.rootless.install.heritable, lo que permite que todos sus procesos secundarios, incluidos bash y perl, eludan las comprobaciones SIP.
Como resultado, la amenaza que ya tenga capacidades de ejecución de código como raíz podría activar systemmigrationd para ejecutar perl, que luego podría usarse para ejecutar un script de shell malicioso mientras el proceso de migración está en marcha.
Luego de la divulgación responsable, Apple abordó la vulnerabilidad como parte de las actualizaciones (macOS Ventura 13.4, macOS Monterey 12.6.6 y macOS Big Sur 11.7.7) enviadas el 18 de mayo de 2023.