Microsoft scopre una falla di sicurezza in macOS: possibile acquisire i privilegi root

System Integrity Protection (SIP) è una funzionalità di sicurezza integrata in macOS che Apple utilizza per bloccare software potenzialmente dannoso impedendo la modifica di cartelle e file, limitando l’account utente root e riducendo le azioni che possono essere condotte su aree protette del sistema operativo.

Il Microsoft 365 Defender Research Team ha fatto sapere di aver scoperto una grave vulnerabilità in macOS, immediatamente segnalata ad Apple. Essa consentiva di bypassare le difese di SIP ed eseguire operazioni arbitrarie, acquisire i privilegi di root e installare rootkit sui sistemi degli utenti.
Usiamo l’imperfetto perché Apple ha rilasciato una patch ufficiale con il rilascio dell’ultimo aggiornamento per macOS due giorni fa, il 26 ottobre.

La falla di sicurezza, alla quale è stato assegnato l’identificativo CVE-2021-30892, è stata battezzata Shrootless ed è stata notata dal team di Microsoft analizzando il comportamento del componente di sistema system_installd su macOS: qualunque processo figlio poteva superare la protezione di SIP.

SIP consente solo ai processi firmati da Apple o a quelli con diritti speciali cioè gli aggiornamenti del software Apple e gli installer rilasciati dall’azienda di Cupertino, di modificare le parti protette di macOS.

“Dopo aver aggirato le restrizioni di SIP un aggressore potrebbe installare un driver dannoso operativo a livello del kernel (rootkit), sovrascrivere i file di sistema o installare malware persistente non rilevabile dalle soluzioni antimalware“, ha spiegato Microsoft che ha comunque apprezzato la professionalità e la reattività dei tecnici Apple nell’individuazione e nella risoluzione del problema.

La scorsa settimana Microsoft ha rilevato di aver scoperto nuove varianti del malware macOS WizardUpdate (conosciuto anche come UpdateAgent o Vigram).
Gli autori della minaccia l’hanno aggiornata per renderla più solida così da evadere alle tecniche di rilevamento. Il malware in questione viene utilizzato dai criminali informatici per distribuire sui sistemi macOS delle vittime un ampio ventaglio di minacce di secondo stadio.