Microsoft semnalează o vulnerabilitate care poate lăsa PC-urile cu macOS complet vulnerabile la atacuri informatice

Într-un gest de „prietenie” față de principalul său rival, Microsoft a informat Apple despre o vulnerabilitate majoră a tehnologiei System Integrity Protection (SIP), folosită încă din anul 2015 ca principală linie de apărare macOS împotriva atacurilor informatice bazate pe escaladarea drepturilor de acces asupra componentelor sistemului de operare.

Obstacol major pentru utilizatorii care ar dori să modifice instalarea de bază MacOS și, eventual, să instaleze diverse aplicații obținute pe căi nu tocmai oficiale, System Integrity Protection poate fi dezactivat prin diverse mijloace, însă ar trebui să fie complet imun în fața aplicațiilor care încearcă să facă asta în mod clandestin. Concret, ocolirea cu succes a acestui mecanism de securitate conferă aplicațiilor rău intenționate drepturi de acces echivalente privilegiului Root pe sistemele Linux, permițând alterarea fișierelor de sistem și accesarea oricăror date din memoria PC-ului respectiv.

În cazul de față, exploit-ul numit Migraine permite autorilor malware să ocolească verificările System Integrity Protection, cu scopul executării de cod arbitrar și escaladarea atacului informatic asupra dispozitivului respectiv. Denumirea Migraine vine de la macOS Migration Assistant, un utilitar creat de Apple pentru a facilita migrarea datelor personale între PC-uri cu MacOS și Windows, către un nou PC Mac. Astfel, aplicația respectivă poate fi deturnată pentru a accesa fără restricții orice fișiere și instala alte aplicații malware sau rootkit-uri.

Modul de exploatare a acestei vulnerabilități se bazează pe o modificare făcută de către experții Microsoft, permițând folosirea utilitarului Migration Assistant fără conectarea la un cont de utilizator. Pentru a ocoli protecțiile Apple care duceau la apariția unui crash, experții Microsoft au rulat Migration Assistant în așa numitul debug mode, intenționat pentru depanarea aplicației prin dezactivarea temporară a unor verificări interne asupra codului executabil, menite să asigure că software-ul nu a suferit modificări neautorizate. Profitând de modul debug, un atacator putea accesa direct funcțiile avansate ale aplicației, facilitând interceptarea oricăror fișiere și modificări care depășesc privilegiile de acces obișnuite.

Problemele semnalate au fost remediate de Apple începând cu revizia macOS 13.4, disponibilă începând cu data de 18 mai. Între timp, putem doar spera ca detaliile oferite să nu „inspire” duplicarea acestui exploit de autorii de malware, pentru sistemele Apple neactualizate la cea mai nouă versiune de OS.