Microsoft a divulgué une vulnérabilité de sécurité récemment corrigée dans macOS d’Apple, identifiée comme CVE-2024-44243ce qui pourrait permettre à un attaquant opérant avec les privilèges root de contourner la protection de l’intégrité du système (SIROTER) du système d’exploitation et installez des pilotes de noyau malveillants via des extensions de noyau tierces.
Microsoft révèle une vulnérabilité macOS permettant le contournement SIP
Cette vulnérabilité, notée avec un score CVSS de 5,5 et classée de gravité moyenne, a été corrigée par Apple dans macOS Sequoia 15.2, publié le mois dernier. Apple a classé le problème comme un « problème de configuration » qui pourrait permettre à une application malveillante de modifier les zones protégées du système de fichiers.
Selon Jonathan Bar Or de l’équipe Microsoft Thrat Intelligence« Le contournement de SIP pourrait entraîner de graves conséquences, telles que l’augmentation du potentiel des attaquants et des auteurs de logiciels malveillants à installer avec succès des rootkits, à créer des logiciels malveillants persistants, à contourner la transparence, le consentement et le contrôle (TCC) et à étendre la surface d’attaque pour des techniques et des exploits supplémentaires. »
SIP, également appelé sans racine, sert de cadre de sécurité pour empêcher les logiciels malveillants de falsifier les composants essentiels de macOS, notamment les répertoires tels que /System, /usr, /bin, /sbin, /var et les applications préinstallées. SIP applique des autorisations strictes sur le compte root, autorisant les modifications de ces zones uniquement par des processus signés par Apple, y compris les mises à jour logicielles Apple.
Deux droits clés associés à SIP sont : com.apple.rootless.install, qui permet à un processus de contourner les restrictions du système de fichiers SIP, et com.apple.rootless.install.heritable, qui étend la même capacité à tous les processus enfants du processus initial. processus.
L’exploitation de CVE-2024-44243 utilise le droit « com.apple.rootless.install.heritable » dans les capacités du démon Storage Kit (storagekitd) pour contourner SIP. Les attaquants peuvent exploiter la capacité de storagekitd pour invoquer des processus arbitraires sans vérifications adéquates pour introduire un nouveau bundle de système de fichiers dans /Library/Filesystems, conduisant à l’altération des binaires liés à l’utilitaire de disque. Cela pourrait être activé lors d’opérations telles que la réparation de disque.
Bar Or a expliqué : « Puisqu’un attaquant pouvant s’exécuter en tant que root peut déposer un nouveau bundle de système de fichiers dans /Library/Filesystems, il peut ensuite déclencher storagekitd pour générer des binaires personnalisés, contournant ainsi SIP. Déclencher l’opération d’effacement sur le système de fichiers nouvellement créé peut également contourner les protections SIP.
Cette révélation fait suite à un précédent rapport de Microsoft détaillant une autre vulnérabilité dans le framework TCC de macOS, identifiée comme CVE-2024-44133ce qui met également en danger la sécurité des données des utilisateurs. Bar Or a noté que si SIP améliore la fiabilité de macOS, il limite simultanément les capacités de surveillance des solutions de sécurité.
Jaron Bradley, directeur de Threat Labs chez Jamf, a souligné l’importance de SIP, affirmant qu’il s’agit d’une cible privilégiée à la fois pour les chercheurs et les attaquants, de nombreux protocoles de sécurité d’Apple reposant sur SIP étant invulnérables. « Un exploit de SIP pourrait permettre à un attaquant de contourner ces invites, de cacher des fichiers malveillants dans des zones protégées du système et potentiellement d’obtenir un accès plus approfondi », a-t-il ajouté.
Les professionnels de la cybersécurité sont invités à maintenir les systèmes macOS à jour, car le dernier correctif corrige cette vulnérabilité critique, qui a été résolue dans la mise à jour de sécurité Apple du 11 décembre. Sans SIP, les attaquants pourraient déployer des rootkits ou des logiciels malveillants persistants sans être détectés, même sans accès physique aux machines.
Les experts recommandent aux équipes de sécurité de surveiller avec vigilance les processus dotés de droits spéciaux susceptibles de contourner SIP. Mayuresh Dani, responsable de la recherche en sécurité chez Qualys, a suggéré que « les équipes devraient surveiller de manière proactive les processus dotés de droits spéciaux, car ceux-ci peuvent être exploités pour contourner SIP ».
De plus, les activités inhabituelles de gestion des disques et les comportements atypiques des utilisateurs privilégiés doivent être surveillés pour renforcer la sécurité contre ces types d’attaques. Comme l’illustrent des vulnérabilités telles que CVE-2024-44243, les organisations doivent gérer avec prudence les extensions de noyau tierces et ne les activer que lorsque cela est absolument nécessaire, en association avec des protocoles de surveillance stricts.
La faille découverte par Microsoft met non seulement en évidence une continuité dans les problèmes de sécurité mais met également en évidence les vulnérabilités présentes au sein de macOS, comme la détection récente du «Banshee» malware infostealer, qui aurait échappé aux mesures antivirus d’Apple grâce à un algorithme de cryptage volé.
L’analyse de Microsoft indique que cette faille spécifique provient du rôle du démon Storage Kit dans la supervision des opérations sur disque, permettant une éventuelle exploitation en intégrant du code personnalisé dans des systèmes de fichiers tiers, notamment Tuxera, Paragon, EaseUS et iBoysoft.
Crédit image en vedette : Szabo Viktor/Unsplash
