Microsoft descobre vulnerabilidade no macOS (CVE-2024-44243) que permite instalação de Rootkits

A Microsoft revelou detalhes sobre uma falha de segurança agora corrigida no macOS da Apple. Se explorada com sucesso, a vulnerabilidade permitiria que um invasor, com privilégios de "root", burlasse a Proteção de Integridade do Sistema (SIP) e instalasse drivers de kernel maliciosos ao carregar extensões de kernel de terceiros.

Identificada como CVE-2024-44243 (pontuação CVSS: 5.5), a falha de gravidade média foi corrigida pela Apple na atualização do macOS Sequoia 15.2, lançada no mês passado. A Apple descreveu o problema como uma "falha de configuração" que poderia permitir que aplicativos maliciosos modificassem partes protegidas do sistema de arquivos.

"Contornar a SIP pode ter consequências graves, como a instalação de rootkits, criação de malwares persistentes, bypass do Transparency, Consent and Control (TCC), e expansão da superfície de ataque para outras técnicas e explorações," afirmou Jonathan Bar Or, da equipe de Inteligência de Ameaças da Microsoft.

A SIP, também conhecida como "rootless", é uma estrutura de segurança projetada para evitar que softwares maliciosos no Mac alterem partes protegidas do sistema operacional, incluindo /System, /usr, /bin, /sbin, /var e aplicativos pré-instalados. Ela limita as permissões até mesmo para usuários com privilégios de root, permitindo modificações apenas por processos assinados pela Apple com permissões especiais.

As permissões específicas da SIP incluem:

com.apple.rootless.install: Remove as restrições da SIP para um processo específico.

com.apple.rootless.install.heritable: Remove as restrições da SIP para um processo e todos os seus subprocessos, permitindo que herdem a permissão.

A vulnerabilidade CVE-2024-44243 explora a permissão com.apple.rootless.install.heritable do daemon Storage Kit (storagekitd) para burlar as proteções da SIP. Isso é feito ao abusar da capacidade do storagekitd de invocar processos arbitrários sem validação adequada, permitindo que um invasor introduza um novo conjunto de arquivos no diretório /Library/Filesystems. Esses arquivos podem substituir os binários associados ao Utilitário de Disco e serem acionados durante operações como reparação de disco.

"Se um invasor com privilégios de root adicionar um novo conjunto de arquivos em /Library/Filesystems, ele pode acionar o storagekitd para executar binários personalizados e, assim, burlar as proteções da SIP," explicou Bar Or. "Acionar operações de formatação no novo sistema de arquivos criado também pode contornar as proteções."

Essa descoberta ocorre quase três meses após a Microsoft detalhar outra falha de segurança no framework TCC da Apple no macOS (CVE-2024-44133, pontuação CVSS: 5.5), que poderia ser explorada para acessar dados sensíveis.

"Se a SIP for burlada, o sistema operacional como um todo não pode mais ser considerado confiável," alertou Bar Or. "Com visibilidade reduzida no monitoramento, atores mal-intencionados podem modificar soluções de segurança no dispositivo para evitar detecção."

Jaron Bradley, diretor do Threat Labs na Jamf, destacou que a SIP continua sendo um alvo atraente para pesquisadores e atacantes, já que muitas medidas de segurança da Apple dependem de sua inviolabilidade. "Uma exploração bem-sucedida da SIP permite que um invasor esconda arquivos maliciosos em áreas protegidas do sistema e obtenha acesso mais profundo," afirmou Bradley. "A única forma de proteção para os usuários é atualizar seus sistemas assim que a Apple lançar correções de segurança."

Via - THN