En un reporte de seguridad, Microsoft detalló el hallazgo de una vulnerabilidad crítica en macOS cuya explotación exitosa permitiría a los actores de amenazas evadir el mecanismo System Integrity Protection (SIP) y desplegar toda clase de ataques, como realizar escaladas de privilegios e instalación de rootkits. SIP, también conocida como Rootless, es una función de seguridad en macOS que impide a los usuarios root realizar operaciones que pudieran comprometer la seguridad en el sistema.
Este mecanismo permite que sólo los procesos firmados por Apple modifiquen estas secciones restringidas del sistema. Acorde al reporte, los actores de amenazas podrían crear un archivo especialmente diseñado con el fin de secuestrar el proceso de instalación legítimo.
Microsoft menciona que, al evaluar los procesos de macOS, se detectó el daemon system_installd, que tiene derechos com.apple.rootless.install.inheritable. El acceso a este nivel de derechos, cualquier proceso derivado de system_installd podría evadir las restricciones del sistema de archivos SIP.
La vulnerabilidad, bautizada como Shrootless, fue explotada en un entorno seguro por los investigadores de Microsoft, que lograron anular la lista de exclusión de extensiones de kernel. A continuación se muestran los pasos que integran la prueba de concepto (PoC):
- Descargar un paquete firmado por Apple (usando wget) que se sabe que tiene un script post exploit
- Plantar un /etc/zshenv malicioso que verifique su proceso padre; si es system_installd, entonces escribiría en ubicaciones restringidas
- Invocar la utilidad de instalación para instalar el paquete
Apple anunció la corrección de la falla en su más reciente actualización de seguridad para macOS, acreditando a Microsoft por el reporte de la falla: “Una aplicación maliciosa puede modificar partes protegidas del sistema de archivos”, reconoce la compañía.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
