Apple resolvió recientemente dos vulnerabilidades importantes en macOS que exponían a los usuarios a una posible persistencia de malware y acceso no autorizado a datos confidenciales.
Estos problemas, descubiertos por investigadores de Microsoft (a través de Securityaffairs), involucraba fallas críticas en Protección de integridad del sistema (SIP) y la Transparencia, Consentimiento y Control ( TCC) marco. Parchadas en macOS Sequoia 15.2, estas vulnerabilidades ilustran la importancia de las mejoras continuas en la seguridad de macOS.
La primera falla, identificada como CVE-2024-44243, permitió a atacantes con acceso root eludir SIP, un elemento de seguridad central de macOS. función que evita cambios no autorizados en el sistema. El segundo, identificado como CVE-2024-44133 y apodado”HM Surf”, aprovechó las debilidades de TCC, permitiendo el acceso no autorizado a datos confidenciales.
Comprensión de la vulnerabilidad SIP
Protección de integridad del sistema, introducida en macOS para salvaguardar archivos y procesos críticos del sistema, aplica protocolos de seguridad estrictos que garantizan que solo las aplicaciones firmadas y certificadas por Apple o instaladas a través de la App Store puedan modificar partes protegidas del sistema operativo.
Sin embargo, los investigadores de Microsoft descubrieron que esta protección podría evitarse mediante el uso privado. derechos integrados en procesos específicos del sistema.
Los derechos privados son permisos especializados reservados para funciones internas de macOS, como com.apple.rootless.install.heritable. Este derecho, cuando lo heredan los procesos secundarios, les permite eludir las restricciones SIP, exponiendo así el sistema a instalaciones de rootkits y otras acciones maliciosas.
Relacionado: La vulnerabilidad de macOS Safari expone datos confidenciales
Microsoft destacó el papel del demonio de macOS storagekitd, responsable de las operaciones de administración de discos. Los atacantes podrían aprovechar este demonio para agregar paquetes de sistemas de archivos personalizados a /Library/Filesystems.
Según Microsoft, “Dado que un atacante que puede ejecutarse como root puede colocar un nuevo paquete de sistema de archivos en/Library/Filesystems, más tarde puede activar Storagekitd para generar archivos binarios personalizados, evitando así SIP”. Microsoft afirmó , “Eludir SIP podría tener consecuencias graves, como aumentar la posibilidad de que atacantes y autores de malware instalen rootkits con éxito, creen malware persistente, eludan la Transparencia, Consentimiento y Control (TCC) y amplíen la superficie de ataque para técnicas y exploits adicionales”.
Este enfoque permite a los atacantes anular los archivos binarios confiables del sistema, como la Utilidad de Discos, para ejecutar código malicioso.
Explotación y privacidad de TCC Riesgos
La segunda vulnerabilidad, CVE-2024-44133, estaba dirigida al marco de Transparencia, Consentimiento y Control (TCC). TCC, lanzado en macOS Mojave 10.14, es un componente vital de macOS que administra los permisos de las aplicaciones para acceder a datos confidenciales, como la cámara, el micrófono y los servicios de ubicación.
La falla permitió a los atacantes eludir las protecciones TCC, lo que permitió el acceso no autorizado a los datos del usuario, incluido el historial de navegación y los archivos privados del sistema.
Esta vulnerabilidad fue particularmente impactante en Safari, donde permitió a los atacantes para explotar los permisos de acceso del navegador. Microsoft señaló que este problema podría exponer información confidencial del usuario sin consentimiento explícito, lo que enfatiza aún más los riesgos que plantean tales vulnerabilidades.
Si bien las actualizaciones resuelven estas fallas específicas, los descubrimientos subrayan desafíos más amplios en la seguridad de sistemas complejos. Microsoft enfatizó la importancia de monitorear el comportamiento anómalo en procesos con derechos privados, ya que estos pueden servir como puntos de entrada para ataques sofisticados.
Información técnica e implicaciones más amplias
Las vulnerabilidades descubiertas resaltan el intrincado equilibrio entre funcionalidad y seguridad en los sistemas operativos modernos. Los derechos privados, aunque esenciales para las operaciones internas de macOS, presentan riesgos importantes si se explotan. Los procesos como storagekit, que administran tareas críticas como las operaciones de disco, deben monitorearse cuidadosamente para detectar posibles abusos.
El problema de la omisión de SIP también demuestra cómo los atacantes pueden explotar los componentes del sistema para obtener ganancias. perseverancia y elevar sus privilegios. De manera similar, la vulnerabilidad TCC revela la necesidad de controles de permisos sólidos para salvaguardar la privacidad del usuario. Las actualizaciones de Apple incluyeron medidas de validación más estrictas dentro de TCC y SIP para mitigar estos riesgos.
