Apple a récemment corrigé une vulnérabilité qui permet aux attaquants disposant de privilèges root de contourner la protection de l’intégrité du système (SIP) pour installer des logiciels malveillants « non supprimables » et accéder aux données privées de la victime en contournant les contrôles de sécurité Transparency, Consent, and Control (TCC).
Découverte et signalée à Apple par une équipe de chercheurs en sécurité de Microsoft, la faille (surnommée Migraine) est désormais identifiée comme CVE-2023-32369.
Apple a corrigé la vulnérabilité dans les mises à jour de sécurité pour macOS Ventura 13.4, macOS Monterey 12.6.6 et macOS Big Sur 11.7.7, publiées il y a deux semaines, le 18 mai.
La protection de l’intégrité du système (SIP), également connue sous le nom de « sans racine », est un mécanisme de sécurité macOS qui empêche les logiciels potentiellement malveillants de modifier certains dossiers et fichiers en imposant des restrictions sur le compte utilisateur root et ses capacités dans les zones protégées du système d’exploitation.
SIP fonctionne selon le principe selon lequel seuls les processus signés par Apple ou ceux possédant des droits spéciaux, tels que les mises à jour et les installateurs de logiciels Apple, doivent être autorisés à modifier les composants protégés par macOS.
Il est également important de noter qu’il n’existe aucune méthode pour désactiver SIP sans redémarrer le système et démarrer macOS Recovery (le système de récupération intégré), ce qui nécessite d’avoir un accès physique à un appareil déjà compromis.
Cependant, les chercheurs de Microsoft ont découvert que les attaquants disposant d’autorisations root pouvaient contourner l’application de la sécurité SIP en abusant de l’utilitaire macOS Migration Assistant, une application macOS intégrée qui utilise le démon systemmigrationd avec des capacités de contournement SIP issues de son com.apple.rootless.install. droit héréditaire.
Les chercheurs ont démontré que les attaquants disposant d’autorisations root pouvaient automatiser le processus de migration avec AppleScript et lancer une charge utile malveillante après l’avoir ajoutée à la liste d’exclusions de SIP sans redémarrer le système et démarrer à partir de macOS Recovery.
« En nous concentrant sur les processus système signés par Apple et disposant du droit com.apple.rootless.install.heritable, nous avons trouvé deux processus enfants qui pourraient être falsifiés pour obtenir l’exécution de code arbitraire dans un contexte de sécurité qui contourne les contrôles SIP », a déclaré l’équipe Microsoft Threat Intelligence.
Les contournements SIP arbitraires comportent des risques importants, en particulier lorsqu’ils sont exploités par des créateurs de logiciels malveillants, car ils permettent au code malveillant d’avoir des effets considérables, y compris la création de logiciels malveillants protégés par SIP qui ne peuvent pas être supprimés via les méthodes de suppression standard.
Ils étendent également considérablement la surface d’attaque et pourraient permettre aux attaquants de falsifier l’intégrité du système par l’exécution de code de noyau arbitraire et d’installer potentiellement des rootkits pour masquer les processus et fichiers malveillants des logiciels de sécurité.
Le contournement de la protection SIP permet également un contournement complet des politiques de transparence, de consentement et de contrôle (TCC), permettant aux acteurs de la menace de remplacer les bases de données TCC et d’obtenir un accès illimité aux données privées de la victime.
Ce n’est pas la première vulnérabilité macOS de ce type signalée par les chercheurs de Microsoft ces dernières années, avec un autre contournement SIP appelé Shrootless signalé en 2021, permettant aux attaquants d’effectuer des opérations arbitraires sur des Mac compromis, d’élever les privilèges à root et potentiellement d’installer des rootkits sur des appareils vulnérables.
Plus récemment, le chercheur principal en sécurité de Microsoft, Jonathan Bar Or, a également découvert une faille de sécurité connue sous le nom d’Achille que les attaquants pourraient exploiter pour déployer des logiciels malveillants via des applications non fiables capables de contourner les restrictions d’exécution de Gatekeeper.
Il a également découvert powerdir, un autre bogue de sécurité macOS qui peut permettre aux attaquants de contourner la technologie Transparency, Consent, and Control (TCC) pour accéder aux données protégées des utilisateurs.