Apple corrige falha do macOS apontada por pesquisadores da Microsoft

A Apple corrigiu uma falha de segurança no macOS identificada por pesquisadores da Microsoft que pode ter permitido que invasores instalassem um malware indetectável. A falha, agora corrigida, poderia ter permitido a instalação de rootkits, de acordo com informações do site ZDNet.

Os pesquisadores da Microsoft descobriram uma falha de segurança no macOS que poderia ser usada para instalar um driver malicioso do kernel, também conhecido como “rootkit”, diz a publicação.

A falha, que residia na proteção de integridade do sistema do macOS (SIP), permitiu que um invasor em potencial instalasse uma interface de hardware que permite “sobrescrever arquivos de sistema ou instalar malware persistente e indetectável”.

“Esta vulnerabilidade no nível do sistema operacional e outras que inevitavelmente serão descobertas aumentam o número crescente de vetores de ataque possíveis para os invasores explorarem”, explica Jonathan Bar-Or, da equipe do Microsoft 365 Defender Research. “À medida que as redes se tornam cada vez mais heterogêneas, o número de ameaças que tentam comprometer dispositivos não Windows também aumenta”.

O SIP bloqueia o sistema desde a raiz usando a sandbox da Apple para proteger o macOS. Ele contém várias variáveis baseadas na memória que não devem ser modificadas no modo de não recuperação, mas o SIP pode ser desligado após a inicialização no modo de recuperação, permitindo que um invasor ignore as proteções SIP, detalha a publicação do ZDNet.

“Ao longo dos anos, a Apple endureceu o SIP contra ataques, melhorando as restrições”, escreve Or. “Uma das restrições SIP mais notáveis é a restrição do sistema de arquivos. Isso é especialmente importante para red teamers e agentes mal-intencionados, pois a quantidade de danos que alguém pode causar aos componentes críticos de um dispositivo é diretamente baseada em sua capacidade de gravar dados irrestritos no disco”.

A falha que a Microsoft encontrou nas restrições SIP da Apple estava relacionada às atualizações do sistema, que exigem acesso irrestrito a diretórios protegidos por SIP. A Apple “introduziu um conjunto específico de direitos que contornam as verificações SIP por design”, escreve Or.

“Ao avaliar os processos do macOS com direito a ignorar as proteções SIP, encontramos o daemon system_installd, que tem o poderoso direito com.apple.rootless.install.inheritable. Com esse direito, qualquer processo filho do system_installd seria capaz de ignorar as restrições do sistema de arquivos SIP ao todo”, explica Or.

A Microsoft argumenta que essa falha garante os recursos de análise comportamental do Defender for Endpoint para proteger os Macs na empresa, diz o site. Além disso, reforça o debate de décadas sobre se os Macs precisarem de antivírus e as respectivas abordagens das duas empresas para essa questão.

A Apple corrigiu a falha, rastreada como CVE-2021-30892, no macOS Monterey 12.0.1, bem como atualizações para Catalina e Big Sur.

Com informações de ZDNet