Apple ha introdotto macOS System Integrity Protection (SIP) in OS X El Capitan nel 2015 e sostanzialmente aggiunge diversi livelli di sicurezza che impediscono alle applicazioni di accedere e modificare i file di sistema a livello di root. Sebbene gli utenti possano disabilitare manualmente questa funzione, non è così facile farlo. Ma Microsoft ha trovato un exploit che potrebbe consentire agli aggressori di bypassare SIP.
La vulnerabilità, chiamata Emicrania, può aggirare le protezioni di integrità del sistema macOS e consentire l'esecuzione di codice arbitrario su un dispositivo, ha affermato la società nel suo blog sulla sicurezza. L'exploit ha preso il nome perché è collegato a macOS Migration Assistant, uno strumento integrato che aiuta gli utenti a spostare i dati da un computer Mac o Windows a un altro Mac.
Come spiegato in Microsoft, aggirare SIP può avere "gravi conseguenze" perché consente agli aggressori di accedere a tutti i file di sistema, facilitando l'installazione di malware e rootkit. L'exploit è stato in grado di farlo utilizzando privilegi speciali progettati per garantire l'accesso root illimitato a Migration Assistant.
In una situazione normale, lo strumento Migration Assistant è disponibile solo durante il processo di creazione di un nuovo account utente, il che significa che gli hacker devono non solo forzare la disconnessione, ma anche avere accesso fisico al computer. Ma per dimostrare il potenziale pericolo di questo exploit, Microsoft ha dimostrato che esiste un modo per utilizzarlo senza preoccuparsi delle limitazioni sopra elencate.
Microsoft modificato l'utilità Migration Assistant in modo che venga eseguito senza che l'utente si disconnette. Ma la modifica del programma ne ha causato l'arresto anomalo a causa di un errore nel segno del codice. I ricercatori della sicurezza hanno quindi eseguito Setup Assistant (un'applicazione che aiuta un utente a configurare un Mac per la prima volta) in modalità debug in modo da ignorare il fatto che Migration Assistant era stato modificato e non aveva una firma valida.
Poiché l'Assistente alla configurazione veniva eseguito in modalità di debug, i ricercatori potevano facilmente saltare i passaggi del processo di configurazione e passare direttamente all'Assistente alla migrazione. Ma anche in ambiente macOS, ciò richiederebbe comunque la presenza di un disco di ripristino e l'interazione con l'interfaccia.
Per rendere l'impresa ancora più difficile, Microsoft ha creato un piccolo backup di Time Machine da 1 GB che potrebbe contenere malware. I ricercatori hanno creato uno scenario AppleUno script che monta automaticamente questo backup e interagisce con l'interfaccia di Migration Assistant senza che l'utente se ne accorga. Di conseguenza, il Mac ha importato i dati da questo backup dannoso.
Fortunatamente, non devi preoccuparti se sul tuo computer è installata l'ultima versione di macOS Ventura. Questo è perché Microsoft segnalato Apple sull'exploit, che è stato risolto nell'aggiornamento macOS 13.4 rilasciato il 18 maggio. Apple ha ringraziato i ricercatori Microsoft sulla tua pagina di sicurezza.
Se non hai ancora aggiornato il tuo Mac, assicurati di installare l'ultima versione di macOS il prima possibile andando su Preferenze di Sistema > Generali > Aggiornamento software.
Leggi anche: