Apple a récemment corrigé une vulnérabilité macOS qui permet aux attaquants de contourner la Protection de l’intégrité du système (SIP) et d’installer des pilotes de noyau malveillants en chargeant des extensions de noyau tierces.
La protection de l’intégrité du système (SIP), ou « sans racine », est une fonctionnalité de sécurité macOS qui empêche les logiciels malveillants de modifier des dossiers et des fichiers spécifiques en limitant les pouvoirs du compte d’utilisateur root dans les zones protégées.
SIP autorise uniquement les processus signés Apple ou ceux dotés de droits spéciaux, tels que les mises à jour logicielles Apple, à modifier les composants protégés par macOS. La désactivation de SIP nécessite normalement un redémarrage du système et un démarrage à partir de la récupération macOS (le système de récupération intégré), ce qui nécessite un accès physique à un périphérique de machine compromis.
La faille de sécurité (identifiée comme CVE-2024-44243), qui ne peut être exploitée que par des attaquants locaux disposant de privilèges root dans des attaques de faible complexité nécessitant une interaction de l’utilisateur, a été trouvée dans le démon du kit de stockage qui gère la conservation de l’état du disque.
Une exploitation réussie pourrait permettre aux attaquants de contourner les restrictions root SIP sans accès physique pour installer des rootkits( pilotes du noyau), de créer des logiciels malveillants persistants et « non supprimables » ou de contourner les contrôles de sécurité de Transparence, de consentement et de contrôle (TCC) pour accéder aux données des victimes.
Apple a corrigé la vulnérabilité dans les mises à jour de sécurité pour macOS Sequoia 15.2, publiées il y a un mois, le 11 décembre 2024.
« La protection de l’intégrité du système (SIP) sert de protection critique contre les logiciels malveillants, les attaquants et autres menaces de cybersécurité, établissant une couche de protection fondamentale pour les systèmes macOS », a déclaré Microsoft aujourd’hui dans un rapport qui fournit plus de détails techniques sur CVE-2024-44243.
« Contourner SIP a un impact sur la sécurité de l’ensemble du système d’exploitation et pourrait entraîner de graves conséquences, soulignant la nécessité de solutions de sécurité complètes capables de détecter les comportements anormaux des processus spécialement autorisés. »
Les chercheurs en sécurité de Microsoft ont découvert plusieurs vulnérabilités macOS ces dernières années. Un contournement SIP surnommé « sans racine » (CVE-2021-30892), signalé en 2021, permet également aux attaquants d’effectuer des opérations arbitraires sur des Mac compromis et potentiellement d’installer des rootkits.
Plus récemment, ils ont également découvert un autre contournement SIP surnommé « Migraine » (CVE-2023-32369) et une faille de sécurité connue sous le nom d’Achille (CVE-2022-42821), qui peut être exploitée pour déployer des logiciels malveillants via des applications non fiables capables de contourner les restrictions d’exécution du contrôleur d’accès.
Jonathan Bar Or, chercheur principal en sécurité chez Microsoft, a également découvert « powerdir » (CVE-2021-30970), une autre vulnérabilité macOS qui permet aux attaquants de contourner la technologie de transparence, de consentement et de contrôle (TCC) pour accéder aux données protégées des utilisateurs macOS.