A Apple resolveu recentemente duas vulnerabilidades significativas no macOS que expunham os usuários a uma possível persistência de malware e ao acesso não autorizado a dados confidenciais.
Esses problemas, descobertos por pesquisadores da Microsoft (via Securityaffairs), envolveu falhas críticas na Proteção de integridade do sistema (SIP) e Transparência, Consentimento e Controle ( TCC). Corrigidas no macOS Sequoia 15.2, essas vulnerabilidades ilustram a importância de melhorias contínuas na segurança do macOS.
A primeira falha, identificada como CVE-2024-44243, permitiu que invasores com acesso root contornassem o SIP, uma segurança central do macOS. recurso que impede alterações não autorizadas no sistema. O segundo, identificado como CVE-2024-44133 e apelidado de “HM Surf”, explorou fraquezas no TCC, permitindo acesso não autorizado a dados confidenciais.
Compreendendo a vulnerabilidade do SIP
System Integrity Protection, introduzida no macOS para proteger arquivos e processos críticos do sistema, impõe protocolos de segurança rígidos. Ele garante que apenas aplicativos assinados e autenticados pela Apple ou instalados por meio da App Store possam modificar partes protegidas do sistema operacional.
No entanto, os pesquisadores da Microsoft descobriram que essa proteção poderia ser contornada usando recursos privados. direitos incorporados em processos específicos do sistema.
Direitos privados são permissões especializadas reservadas para funções internas do macOS, como com.apple.rootless.install.heritable. Esse direito, quando herdado por processos filhos, permite que eles contornem as restrições SIP, expondo assim o sistema a instalações de rootkits e outras ações maliciosas.
Relacionado: a vulnerabilidade do macOS Safari expõe dados confidenciais
A Microsoft destacou a função do daemon do macOS storagekitd, responsável pelas operações de gerenciamento de disco. Os invasores podem explorar esse daemon para adicionar pacotes de sistemas de arquivos personalizados a /Library/Filesystems.
De acordo com a Microsoft, “Como um invasor que pode ser executado como root pode descartar um novo pacote de sistema de arquivos em/Library/Filesystems, ele pode posteriormente acionar o storagekitd para gerar binários personalizados, ignorando o SIP.”A Microsoft afirmou , “Ignorar o SIP pode levar a consequências graves, como aumentar o potencial para invasores e autores de malware instalarem rootkits com sucesso, criarem malware persistente, ignorarem Transparência, Consentimento e Controle (TCC) e expandirem o ataque superfície para técnicas e explorações adicionais.”
Essa abordagem permite que invasores substituam binários confiáveis do sistema, como o Utilitário de Disco, para executar código malicioso.
Exploit TCC e riscos de privacidade
A segunda vulnerabilidade, CVE-2024-44133, tinha como alvo a estrutura de Transparência, Consentimento e Controle (TCC). O TCC, lançado no macOS Mojave 10.14, é um componente vital do macOS que gerencia permissões de aplicativos para acessar dados confidenciais, como câmera, microfone e serviços de localização.
A falha permitiu que invasores contornassem as proteções TCC, permitindo acesso não autorizado aos dados do usuário, incluindo histórico de navegação e arquivos privados do sistema.
Essa vulnerabilidade teve impacto particularmente no Safari, onde permitiu que invasores para explorar as permissões de acesso do navegador. A Microsoft observou que este problema pode expor informações sensíveis dos utilizadores sem consentimento explícito, enfatizando ainda mais os riscos representados por tais vulnerabilidades.
Embora as atualizações resolvam estas falhas específicas, as descobertas sublinham desafios mais amplos na segurança de sistemas complexos. A Microsoft enfatizou a importância de monitorar comportamentos anômalos em processos com direitos privados, pois estes podem servir como pontos de entrada para ataques sofisticados.
Insights técnicos e implicações mais amplas
As vulnerabilidades descobertas destacam o intrincado equilíbrio entre funcionalidade e segurança nos sistemas operacionais modernos. Os direitos privados, embora essenciais para operações internas do macOS, apresentam riscos significativos se explorados. Processos como o storagekit, que gerenciam tarefas críticas, como operações de disco, devem ser monitorados cuidadosamente para detectar possíveis abusos.
O problema do bypass SIP também demonstra como os invasores podem explorar componentes do sistema para obter persistência e elevar seus privilégios. Da mesma forma, a vulnerabilidade do TCC revela a necessidade de controlos de permissão robustos para salvaguardar a privacidade do utilizador. As atualizações da Apple incluíram medidas de validação mais rigorosas no TCC e no SIP para mitigar esses riscos.
