Cotización de descuento para licencias múltiples
Asunto Vulnerabilidad de macOS CVE-2024-44243

Vulnerabilidad de macOS CVE-2024-44243

Por Mezo en Asunto
Traducir a:
Español

Microsoft ha revelado una vulnerabilidad de seguridad en macOS de Apple que, de haber sido explotada, podría haber permitido a un hacker con acceso root eludir la Protección de Integridad del Sistema (SIP). Esta falla habría permitido la instalación no autorizada de controladores de kernel dañados a través de extensiones de kernel de terceros, comprometiendo significativamente la seguridad del sistema.

Los detalles de CVE-2024-44243

La vulnerabilidad, identificada como CVE-2024-44243, tenía una puntuación de gravedad CVSS de 5,5 y se clasificó como un problema de riesgo medio. Apple abordó esta falla en la actualización de macOS Sequoia 15.2 el mes pasado. La empresa la describió como un "problema de configuración" que podría permitir que una aplicación no segura modifique áreas protegidas del sistema de archivos, debilitando de manera efectiva las protecciones de seguridad básicas.

Los riesgos de eludir el SIP

La protección de integridad del sistema, también conocida como "rootless", es un mecanismo de seguridad fundamental de macOS diseñado para evitar modificaciones no autorizadas a componentes críticos del sistema. Al eludir la protección de integridad del sistema, los atacantes podrían instalar amenazas persistentes como rootkits, evadir el marco de transparencia, consentimiento y control (TCC) de Apple y abrir la puerta a una mayor explotación.

Cómo SIP protege macOS

SIP funciona aplicando estrictos controles de acceso a directorios esenciales, incluidos /System, /usr, /bin, /sbin y /var. Limita las modificaciones a estas áreas únicamente a los procesos firmados por Apple con derechos específicos, como actualizaciones de software e instaladores de sistemas. Esta protección evita que tanto los usuarios como los atacantes manipulen la funcionalidad principal de macOS.

Derechos SIP: un arma de doble filo

Apple ofrece dos derechos SIP clave que regulan las modificaciones:

  • com.apple.rootless.install : otorga permiso para eludir las restricciones del sistema de archivos de SIP para un proceso específico.
  • com.apple.rootless.install.heritable: extiende el permiso de omisión al proceso y a todos sus procesos secundarios.

La explotación de estos derechos podría permitir a los atacantes anular las protecciones SIP, lo que lo convierte en un problema de seguridad crítico.

El exploit: cómo los atacantes podrían eludir el protocolo SIP

La nueva omisión de SIP, similar a exploits anteriores como CVE-2021-30892 (Shrootless) y CVE-2023-32369 (Migraine), aprovecha el derecho 'com.apple.rootless.install.heritable' dentro del demonio Storage Kit de macOS (storagekitd).

Al abusar de la capacidad de storagekitd de iniciar procesos arbitrarios sin validación, los atacantes podrían introducir un paquete de sistema de archivos amenazante en /Library/Filesystems. Esto les permitiría anular los binarios vinculados a la Utilidad de discos de macOS, lo que desencadenaría un ataque durante operaciones como la reparación de discos. Además, un usuario root podría aprovechar esta falla para ejecutar código no autorizado, eludiendo por completo las protecciones SIP.

Continúan los hallazgos de seguridad de Microsoft

Este descubrimiento surge tras un informe anterior de Microsoft sobre otra vulnerabilidad de macOS en el marco de Transparencia, Consentimiento y Control (TCC) (CVE-2024-44133, también conocida como HM Surf). Esa falla, con la misma puntuación CVSS de 5,5, podría haber sido explotada para acceder a datos confidenciales de los usuarios. El ataque repetido a las medidas de seguridad de macOS pone de relieve la necesidad de una vigilancia y una aplicación de parches constantes.

El panorama más amplio: por qué es importante el SIP

Al restringir las extensiones de kernel de terceros, Apple mejora la estabilidad y la seguridad de macOS. Sin embargo, al omitir SIP se comprometen estas protecciones, lo que hace que el sistema sea vulnerable a amenazas avanzadas. Si se desactiva SIP, las soluciones de seguridad también pueden perder visibilidad, lo que permite a los atacantes manipular o desactivar herramientas de seguridad sin que se den cuenta.

Un objetivo prioritario para los atacantes

El SIP sigue siendo un objetivo de gran valor tanto para los investigadores de seguridad como para los actores de amenazas. Muchas de las defensas de seguridad de Apple suponen que el SIP no se puede eludir, lo que convierte cualquier vulnerabilidad en un avance significativo. Los ataques exitosos podrían permitir a los piratas informáticos colocar archivos maliciosos en directorios protegidos, ocultar la actividad a las herramientas de seguridad y eludir por completo los avisos de seguridad de macOS.

Mantenerse protegido: por qué las actualizaciones son esenciales

Se sabe que los atacantes utilizan tácticas de ingeniería social para manipular a los usuarios y conseguir que concedan permisos innecesarios. Sin embargo, una vulnerabilidad de SIP podría eliminar por completo la necesidad de interacción con el usuario. Dado el papel fundamental de SIP en la seguridad de macOS, la mejor defensa contra este tipo de vulnerabilidades es asegurarse de que macOS esté siempre actualizado. Instalar los parches de seguridad de Apple tan pronto como se publiquen es la forma más eficaz de evitar que los atacantes aprovechen estas fallas.

Cargando...