Apple abordó recientemente una vulnerabilidad de macOS que permite a los atacantes eludir la Protección de la integridad del sistema (SIP) e instalar controladores de kernel maliciosos cargando extensiones de kernel de terceros.
Qué es la Protección de la integridad del sistema (SIP)
SIP corresponde a las siglas: Protección de la integridad del sistema (a veces referido como rootless) es una característica de seguridad del sistema operativo macOS de Apple introducida en OS X El Capitan (2015) (OS X 10.11).
La Protección de la integridad del sistema es una tecnología de seguridad diseñada para ayudar a evitar que el software potencialmente malicioso modifique los archivos y carpetas protegidos en tu Mac. La Protección de la integridad del sistema restringe la cuenta de usuario root y las acciones que puede realizar el usuario root en las partes protegidas del sistema operativo del Mac.
La Protección de la integridad del sistema (SIP), o ‘sin raíz’, es una característica de seguridad de macOS que evita que el software malicioso altere carpetas y archivos específicos al limitar los poderes de la cuenta de usuario raíz en áreas protegidas.
SIP permite que solo los procesos firmados por Apple o aquellos con derechos especiales, como las actualizaciones de software de Apple, modifiquen los componentes protegidos por macOS. Deshabilitar SIP normalmente requiere reiniciar el sistema y arrancar desde macOS Recovery (el sistema de recuperación integrado), lo que requiere acceso físico a un dispositivo de máquina comprometido.
Qué problemas de seguridad se solucionaron con macOS Sequoia 15.2
Así comenta Microsoft cómo trabajaron para encontrar dicha vulnerabilidad:
Compartimos estos hallazgos con Apple a través de Divulgación coordinada de vulnerabilidades (CVD) a través de Microsoft Security Vulnerability Research (MSVR). una solución para esta vulnerabilidad, ahora identificada como CVE-2024-44243 Se incluyó , en las actualizaciones de seguridad publicadas por Apple el 11 de diciembre de 2024. Los hallazgos se descubrieron en paralelo entre Microsoft y Mickey Jin, quienes también informaron responsablemente la vulnerabilidad a Apple. Los usuarios deben asegurarse de que sus sistemas estén actualizados. Agradecemos al equipo de seguridad de Apple por su colaboración y esfuerzos para solucionar este problema.
La vulnerabilidad de seguridad denominada CVE-2024-44243, que solo puede ser explotada por atacantes locales con privilegios de root en ataques de baja complejidad que requieren la interacción del usuario, se encontró en el demonio del kit de almacenamiento que maneja el mantenimiento del estado del disco.
Una explotación exitosa podría permitir a los atacantes eludir las restricciones de raíz SIP sin acceso físico para instalar rootkits (controladores del kernel), crear malware persistente e «indeleble» o eludir los controles de seguridad de Transparencia, Consentimiento y Control (TCC) para acceder a los datos de las víctimas.
Apple ha parcheado la vulnerabilidad en las actualizaciones de seguridad para macOS Sequoia 15.2, lanzado recientemente en diciembre pasado.
«La Protección de la integridad del sistema (SIP) sirve como una protección crítica contra malware, atacantes y otras amenazas de ciberseguridad, estableciendo una capa fundamental de protección para los sistemas macOS«, dijo Microsoft en un informe que proporciona más detalles técnicos sobre CVE-2024-44243.
«Eludir SIP afecta la seguridad de todo el sistema operativo y podría tener consecuencias graves, lo que enfatiza la necesidad de soluciones de seguridad integrales que puedan detectar comportamientos anómalos de procesos especialmente autorizados».
Los investigadores de seguridad de Microsoft han descubierto múltiples vulnerabilidades de macOS en los últimos años. Una omisión de SIP denominada ‘Shrootless ‘ ( CVE-2021-30892 ), informada en 2021, también permite a los atacantes realizar operaciones arbitrarias en Mac comprometidas y potencialmente instalar rootkits.
Más recientemente, también encontraron otra omisión SIP denominada ‘Migraine‘ (CVE-2023-32369) y una falla de seguridad conocida como Achilles (CVE-2022-42821), que puede explotarse para implementar malware a través de aplicaciones no confiables capaces de eludir la ejecución de las restricciones de Gatekeeper.
El investigador principal de seguridad de Microsoft, Jonathan Bar Or, habla sobre la importancia de la colaboración para la mitigación de éstas y otras vulnerabilidades que aparecen:
Esta investigación subraya la importancia del conocimiento compartido y los esfuerzos colaborativos dentro de la comunidad de seguridad. Nos gustaría agradecer nuevamente a Apple por su trabajo para abordar esta vulnerabilidad y a Mickey Jin por revelar responsablemente la vulnerabilidad en paralelo con Microsoft. Creemos que la difusión de esta información no sólo fomentará la divulgación responsable sino que también alentará la acción colectiva para fortalecer las defensas contra las amenazas en desarrollo. Al trabajar juntos y aprovechar los conocimientos adquiridos a partir de estos hallazgos, podemos proteger mejor nuestros sistemas y responder de manera efectiva a los desafíos de seguridad en evolución.
