Apple introduziu o macOS System Integrity Protection (SIP) no OS X El Capitan em 2015 e, essencialmente, adiciona várias camadas de segurança que impedem que os aplicativos acessem e modifiquem arquivos do sistema no nível raiz. Embora os usuários possam desativar manualmente esse recurso, não é tão fácil fazê-lo. Mas Microsoft encontrou uma exploração que poderia permitir que invasores contornassem o SIP.
A vulnerabilidade, chamada Migraine, pode ignorar as proteções de integridade do sistema macOS e permitir a execução arbitrária de código em um dispositivo, disse a empresa em seu blog de segurança. A exploração recebeu esse nome porque está vinculada ao assistente de migração do macOS, uma ferramenta integrada que ajuda os usuários a mover dados de um computador Mac ou Windows para outro Mac.
Conforme explicado em Microsoft, ignorar o SIP pode ter “sérias consequências” porque dá aos invasores acesso a todos os arquivos do sistema, facilitando a instalação de malware e rootkits. A exploração foi capaz de fazer isso usando privilégios especiais projetados para conceder acesso root irrestrito ao Migration Assistant.
Em uma situação normal, a ferramenta Migration Assistant só está disponível durante o processo de configuração de uma nova conta de usuário, o que significa que os hackers precisam não apenas forçar o logout, mas também ter acesso físico ao computador. Mas para demonstrar o perigo potencial desta exploração, Microsoft mostrou que existe uma maneira de usá-lo sem se preocupar com as limitações listadas acima.
Microsoft modificou o utilitário Migration Assistant para que ele seja executado sem que o usuário efetue logoff. Mas modificar o programa fez com que ele travasse devido a um erro de sinal de código. Os pesquisadores de segurança então executaram o Setup Assistant (um aplicativo que ajuda o usuário a configurar um Mac pela primeira vez) no modo de depuração para ignorar o fato de que o Migration Assistant foi modificado e não tinha uma assinatura válida.
Como o Assistente de configuração era executado no modo de depuração, os pesquisadores podiam facilmente pular as etapas do processo de configuração e ir diretamente para o Assistente de migração. Mas mesmo em um ambiente macOS, isso ainda exigiria a presença de um disco de recuperação e interação com a interface.
Para tornar a exploração ainda mais difícil, Microsoft criou um pequeno backup do Time Machine de 1 GB que pode conter malware. Pesquisadores criaram um cenário AppleUm script que montou automaticamente esse backup e interagiu com a interface do Migration Assistant sem que o usuário percebesse. Como resultado, o Mac importou dados desse backup malicioso.
Felizmente, você não precisa se preocupar se o seu computador estiver executando a versão mais recente do macOS Ventura. Isto é porque Microsoft relatado Apple sobre o exploit, que foi corrigido na atualização do macOS 13.4 lançada em 18 de maio. Apple agradeceu aos pesquisadores Microsoft na sua página de segurança.
Se você ainda não atualizou seu Mac, certifique-se de instalar a versão mais recente do macOS o mais rápido possível acessando Preferências do sistema > Geral > Atualização de software.
Leia também: