Un nuovo exploit di macOS scoperto da Microsoft potrebbe aggirare la System Integrity Protection, ma Apple lo ha corretto di recente.
Apple ha introdotto System Integrity Protection (SIP) con OS X El Capitan nel 2015 per aggiungere più livelli di sicurezza che impediscono alle app di accedere e modificare i file di sistema a livello di root. Sebbene gli utenti possano disabilitare manualmente questa funzione, non è esattamente facile farlo. Ma Microsoft ha trovato un exploit che potrebbe consentire agli aggressori di aggirare SIP.
Una vulnerabilità denominata “Migraine” potrebbe aggirare la protezione dell’integrità del sistema di macOS e portare all’esecuzione di codice arbitrario su un dispositivo. L’exploit è così chiamato perché è correlato a macOS Migration Assistant, uno strumento nativo che aiuta gli utenti a spostare i dati da un Mac o PC Windows a un altro Mac.
Come ha spiegato Microsoft, bypassare SIP può portare a “gravi conseguenze”, poiché ciò consente agli aggressori di accedere a tutti i file di sistema, il che semplifica l’installazione di malware e rootkit. L’exploit è stato in grado di farlo utilizzando un diritto speciale progettato per fornire un accesso root senza restrizioni all’app Migration Assistant.
In una situazione normale, lo strumento Migration Assistant è accessibile solo durante il processo di configurazione di un nuovo account utente, il che significa che gli hacker non solo devono forzare una disconnessione completa dal sistema, ma devono anche avere accesso fisico al computer. Ma per dimostrare il potenziale rischio di questo exploit, Microsoft ha mostrato che c’è un modo per trarne vantaggio senza preoccuparsi delle limitazioni elencate prima.
Microsoft ha modificato l’utility Migration Assistant in modo che venga eseguita senza disconnettere l’utente. Ma la modifica dell’app ne ha causato l’arresto anomalo a causa di un errore di progettazione. Ciò che i ricercatori di sicurezza hanno fatto è stato eseguire Setup Assistant (l’app che guida l’utente attraverso la prima configurazione di un Mac) in modalità di debug, in modo da fargli ignorare il fatto che Migration Assistant era stato modificato e mancava di una firma valida.
Poiché Setup Assistant era in esecuzione in modalità di debug, i ricercatori potevano facilmente saltare i passaggi del processo di installazione e passare direttamente a Migration Assistant. Ma anche in esecuzione nell’ambiente macOS, ciò richiederebbe comunque il ripristino di un disco e l’interazione con l’interfaccia.
Per sfruttare ulteriormente l’exploit, Microsoft ha creato un piccolo backup di Time Machine da 1 GB che contiene malware. Quindi i ricercatori hanno creato un AppleScript che monta automaticamente questo backup e interagisce con l’interfaccia di Migration Assistant senza che l’utente se ne accorga. Di conseguenza, il Mac importerebbe i dati da quel backup dannoso.
Fortunatamente, non devi preoccuparti se il tuo Mac esegue l’ultima versione di macOS Ventura. Questo perché Microsoft ha informato Apple dell’exploit, che è stato risolto con l’aggiornamento macOS 13.4, rilasciato al pubblico il 18 maggio.