Microsoft ha scoperto una vulnerabilità in macOS che permette agli hacker di bypassare le restrizioni introdotte da System Integrity Protection (SIP).
“La scoperta dei ricercatori di Microsoft”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è estremamente importante, una vulnerabilità come quella di cui discutiamo che può consentire agli aggressori con privilegi di root di aggirare la funzionalità di sicurezza di Apple nota come System Integrity Protection”.
“La scoperta di Microsoft”, aggiunge Paolo Passeri, Cyber Intelligence Principal di Netskope, “conferma come, sino ad ora nel 2023, gli attaccanti siano stati piuttosto occupati nel trovare e sfruttare vulnerabilità critiche nei sistemi operativi Apple”. Ecco perché, tutti i dettagli e come mitigare il rischio.
Indice degli argomenti
Vulnerabilità in macOS: i rischi
Recentemente Apple si è dedicata a una vulnerabilità in macOS che consente agli attaccanti, dotati di privilegi di root, di bypassare System Integrity Protection (SIP) per installare un malware non cancellabile. E anche permette di accedere ai dati privati delle vittime, aggirando i controlli di transparenza, consenso e controllo (TCC) e di sicurezza.
“System Integrity Protection (noto anche come rootless) è una funzionalità di sicurezza di macOS introdotta dal 2015 con la versione OS X El Capitan (OS X 10.11)”, spiega Paganini. Infatti “questo meccanismo di sicurezza impedisce a un utente con privilegi di ‘root’ di eseguire operazioni che potrebbero compromettere l’integrità del sistema”.
L’ha scoperta Microsoft. Il team dei ricercatori di sicurezza di Microsoft l’ha riportata ad Apple. Chiamata Migraine, la vulnerabilità è tracciata come CVE-2023-32369.
“Una volta che un utente malintenzionato ha aggirato le restrizioni introdotte dal SIP”, mette in guardia Paganini, “può installare codici malevoli che ‘non sono cancellabili’ e soprattutto che siamo persistenti. Inoltre, eludendo il SIP è possibile accedere ai dati sensibili sul dispositivo”.
Gli aggiramenti arbitrari dei SIP comportano dunque rischi significativi, specialmente quando sono sfruttati dai creatori di malware.
Infatti, abilitare a codice malevolo a portare effetti di ampia portata, inclusa la creazione di malware SIP-protected che non può essere rimosso con i metodi standard di rimozione. Essi espandono, inoltre, la superficie d’attacco che che potrebbe consentire ad attaccanti di manomettere l’integrità del sistema tramite esecuzione di codice arbitrario del kernel e potenzialmente installare rootkit per nascondere processi malevoli e fil da software di sicurezza.
Come difendersi
Apple ha rilasciato la patch per risolvere la vulnerabilità in macOS. Gli aggiornamenti di sicurezza sono per le seguenti versioni di macOS: Ventura 13.4, Monterey 12.6.6 e Big Sur 11.7.7, rilasciato due settimane fa, il 18 maggio.
“Vulnerabilità come quella scoperta da Microsoft possono portare alla completa compromissione di un dispositivo in attacchi che sono di difficile detection e contro i quali le soluzioni di sicurezza attuali possono far davvero poco”, conclude Paganini.
L’unica arma di difesa davvero efficace è, dunque, mantenere aggiornati i sistemi operativi, le app e i software.
Infatti, “nei casi precedenti, sfortunatamente queste vulnerabilità sono state scoperte e mitigate successivamente al loro sfruttamento da parte degli attaccanti“, continua Paolo Passeri: “Già a febbraio, Apple ha rilasciato il primo aggiornamento di sicurezza di emergenza per mitigare CVE-2023-23529, una vulnerabilità riguardante l’engine del browser Webkit in grado di consentire l’esecuzione di codice arbitrario, sia su MacOS che iOS, e solo due mesi dopo, stessa misura è stata presa per CVE-2023-28205 (riguardante di nuovo Webkit), e CVE-2023-28206 (riguardante il framework di sviluppo IOSurfaceAccelerator), anche in questo caso con impatto su MacOS e iOS“.
“In entrambi i casi vi erano evidenze dello sfruttamento di queste vulnerabilità da parte degli attaccanti, aspetto che conferma quanto sia importante installare tempestivamente gli aggiornamenti di sicurezza rilasciati dal produttore“, conclude Passeri.
