Vulnerabilidade macOS permite ignorar a proteção de integridade da Apple

Vulnerabilidade crítica do macOS permite que hackers ignorem a proteção de integridade do sistema da Apple.

A Microsoft Threat Intelligence descobriu uma vulnerabilidade crítica do macOS que permitia que invasores ignorassem a Proteção de Integridade do Sistema (SIP) da Apple.

Conhecida como CVE-2024-44243, essa vulnerabilidade pode ser explorada para carregar extensões de kernel de terceiros, resultando em graves implicações de segurança para os usuários do macOS.

A Apple lançou um patch para essa vulnerabilidade como parte de sua atualização de segurança de 11 de dezembro de 2024. A descoberta foi feita em paralelo pela Microsoft e pelo pesquisador de segurança Mickey Jin, que relataram o problema à Apple.

O que é a Proteção da Integridade do Sistema (SIP)?

A Proteção de Integridade do Sistema, comumente chamada de SIP, é um recurso de segurança básico do macOS projetado para restringir operações no nível do sistema que podem comprometer a integridade do sistema operacional.

Ao impor restrições até mesmo a usuários com privilégios de root, o SIP ajuda a proteger os dispositivos macOS contra modificações não autorizadas, garantindo maior segurança contra malware, rootkits e outras ameaças.

No entanto, o relatório da Microsoft destaca o risco crítico representado por um desvio SIP bem-sucedido. Uma vulnerabilidade SIP explorada pode permitir que os invasores:

• Instale malware persistente ou rootkits.
• Ignore a estrutura de Transparência, Consentimento e Controle (TCC) do macOS.
• Adultere as soluções de segurança para evitar a detecção.
• Amplie a superfície de ataque para explorações adicionais.

Descoberta e análise de CVE-2024-44243

A pesquisa da Microsoft revelou que o daemon Storage Kit (storagekitd), um processo chave do macOS que lida com operações de estado do disco, pode ser explorado para contornar as proteções SIP.

Os invasores executados como root podem aproveitar essa vulnerabilidade introduzindo e acionando pacotes de sistemas de arquivos personalizados que permitem operações não autorizadas.

A equipe de pesquisa descobriu várias implementações de sistemas de arquivos de terceiros, incluindo as da Tuxera, Paragon, EaseUS e iBoysoft, que eram suscetíveis a abusos.

Ao integrar código personalizado a esses sistemas de arquivos e usar ferramentas como o Utilitário de Disco ou o comando, os invasores podem ignorar o SIP, substituindo a lista de exclusão de extensões do kernel da Apple.diskutil

Isso permitiu ações não autorizadas, como a execução de processos arbitrários sem validação adequada ou quedas de privilégios, que o SIP foi projetado para evitar.

Um desvio de SIP afeta todo o sistema operacional macOS, tornando-o não confiável e potencialmente vulnerável a uma ampla gama de ataques. Os agentes de ameaças podem explorar isso para:

• Modifique arquivos críticos do sistema.
• Evite a detecção desativando ou adulterando ferramentas de segurança.
• Persista no sistema por meio de malware sofisticado.

A pesquisa ressalta um desafio mais amplo enfrentado pelos mecanismos de segurança do macOS: embora a restrição do código do kernel de terceiros melhore a confiabilidade do sistema, ela limita a visibilidade no nível do kernel para ferramentas de monitoramento, dificultando a detecção de ataques sofisticados.

O papel da Microsoft na detecção e mitigação

Para identificar a vulnerabilidade CVE-2024-44243, a Microsoft aproveitou técnicas avançadas de monitoramento por meio do Microsoft Defender para Ponto de Extremidade.

A equipe monitorou proativamente os processos com direitos especiais – permissões concedidas a processos que executam funções críticas do sistema.

Esses direitos, como com.apple.rootless.install.heritable, podem levar a desvios de SIP quando usados indevidamente por invasores.

Ao analisar processos filhos anômalos de daemons autorizados, como storagekitd, a Microsoft sinalizou com sucesso a vulnerabilidade.

O Microsoft Defender para Ponto de Extremidade fornece alertas em tempo real para possíveis tentativas de bypass de SIP, permitindo que as organizações fiquem à frente das ameaças emergentes.

Além disso, o Gerenciamento de Vulnerabilidades do Microsoft Defender ajuda a detectar e resolver rapidamente vulnerabilidades como CVE-2024-44243, garantindo proteção abrangente para os usuários.

Correção da Apple e divulgação responsável

A vulnerabilidade foi divulgada de forma responsável à Apple por meio do processo de Divulgação Coordenada de Vulnerabilidades (CVD) por meio da Microsoft Security Vulnerability Research (MSVR).

A Apple colaborou prontamente com a Microsoft e Mickey Jin para entregar um patch abordando CVE-2024-44243 em sua atualização de segurança de dezembro de 2024.

Os usuários do macOS são incentivados a atualizar seus sistemas imediatamente para mitigar o risco representado por essa vulnerabilidade.

A Microsoft enfatizou a importância de monitorar processos especialmente autorizados para comportamento anômalo, dado seu potencial para desvios de segurança.

Vulnerabilidades anteriores (por exemplo, “Shrootless” e “Migraine”) destacaram como os direitos vinculados a processos privilegiados podem ser explorados por invasores.

A empresa também reiterou a importância dos esforços colaborativos dentro da comunidade de segurança para fortalecer as defesas e garantir a divulgação responsável.

Protegendo sistemas macOS: o que os usuários podem fazer

Para se proteger contra possíveis ameaças à segurança:

1. Sistemas de atualização: verifique se os dispositivos macOS estão executando o software mais recente com a atualização de segurança de dezembro de 2024.
2. Use ferramentas de segurança: implante ferramentas abrangentes de proteção de ponto de extremidade, como Microsoft Defender para Ponto de Extremidade, que monitora tentativas de desvio de SIP e outras atividades anômalas.
3. Monitore os processos autorizados: as organizações devem observar atentamente os processos críticos com direitos especiais que podem ser alvo de invasores.
4. Siga as práticas recomendadas: evite executar software de terceiros não confiável e limite os privilégios administrativos para reduzir as oportunidades de ataque.

A descoberta e a resolução do CVE-2024-44243 ressaltam a importância da pesquisa e colaboração contínuas de segurança.

À medida que as ameaças cibernéticas sofisticadas evoluem, a detecção proativa, a divulgação responsável e a aplicação rápida de patches continuam sendo essenciais para manter a integridade dos sistemas operacionais modernos.

A resposta rápida da Apple a essa vulnerabilidade ilustra o poder da ação coletiva na proteção de dispositivos contra riscos emergentes.

Fonte: GBHackers

Veja também:

• Seguro cibernético na era da digitalização
• 8 modelos de IA em redes 5G: ameaças e mitigações
• Agile Security Workflows: DevSecOps Hacks for CI/CD Pipeline
• Sistemas Microsoft e Cisco têm vulnerabilidades críticas 
• Estrutura de Confiança Zero redefine a segurança
• Principais tendências de ameaças persistentes avançadas
• Previsões tecnológicas para 2025 e além
• Tendências em fraudes para 2025 e o futuro dos golpes digitais
• Sete ataques digitais que marcaram a América Latina em 2024
• Gêmeos digitais maliciosos alimentados por deepfake em 2025
• Segurança Cibernética em 2025
• Quando a inovação se torna um risco