Microsoft ha revelado una vulnerabilidad de seguridad recientemente parcheada que afecta al sistema operativo macOS de Apple. Si esta falla hubiera sido explotada correctamente, permitiría a un atacante ejecutar comandos con privilegios elevados, conocidos como «root» (usuario con acceso total al sistema, capaz de modificar archivos y configuraciones), y eludir una característica de seguridad crítica llamada Protección de Integridad del Sistema (SIP, por sus siglas en inglés). Esta vulnerabilidad habría permitido la instalación de controladores maliciosos en el kernel de macOS, lo que puede comprometer la seguridad del sistema al cargar extensiones de kernel de terceros sin autorización.
¿Qué es SIP y por qué es importante?
La Protección de Integridad del Sistema (SIP), también conocida como rootless, es una medida de seguridad implementada por Apple en macOS para proteger las partes más críticas del sistema operativo. SIP previene que software malicioso pueda modificar áreas clave del sistema de archivos, como las carpetas /System, /usr, /bin, /sbin, /var y las aplicaciones preinstaladas en el dispositivo. En términos sencillos, el SIP asegura que incluso los usuarios con acceso «root» (un nivel de privilegio alto) no puedan alterar estos archivos importantes, a menos que sean procesos firmados y verificados por Apple, como las actualizaciones de software.
SIP se activa a través de una serie de protecciones que aseguran que solo los procesos autorizados por Apple puedan modificar ciertas partes del sistema. Esto evita que software malicioso pueda hacerse con el control del sistema y realizar cambios dañinos, lo que lo convierte en un componente fundamental para la seguridad de macOS.
Más de Morbeb: Desarrollan un modelo que permite a las computadoras interpretar las emociones humanas
La vulnerabilidad CVE-2024-44243
La vulnerabilidad recientemente descubierta, identificada como CVE-2024-44243, es una falla de gravedad media (con una puntuación CVSS de 5.5) que afecta a macOS. Esta vulnerabilidad fue abordada por Apple en la actualización macOS Sequoia 15.2 lanzada el mes pasado. El problema de seguridad se describe como una «configuración incorrecta» que podría permitir que una aplicación maliciosa alterara partes del sistema de archivos que están protegidas por SIP.
Jonathan Bar Or, miembro del equipo de inteligencia de amenazas de Microsoft, explicó que eludir las protecciones de SIP podría tener consecuencias graves, como permitir que los atacantes instalen rootkits (programas maliciosos que se ocultan en el sistema) y creen malware persistente que pueda operar en el sistema sin ser detectado. También mencionó que los atacantes podrían eludir otras medidas de seguridad como Transparencia, Consentimiento y Control (TCC), lo que aumenta la superficie de ataque para otras técnicas de explotación.
Términos clave
- Root: En los sistemas operativos Unix, incluido macOS, «root» es el usuario con los máximos privilegios. Tener acceso root significa tener la capacidad de hacer cualquier cambio en el sistema, incluyendo la modificación de archivos protegidos.
- Rootkit: Es un tipo de malware diseñado para obtener acceso no autorizado a un sistema y mantenerse oculto, lo que hace más difícil su detección.
- TCC (Transparencia, Consentimiento y Control): Es un marco de seguridad en macOS que controla y limita el acceso de las aplicaciones a recursos del sistema, como la cámara, el micrófono y otros datos sensibles.
- Kernel: Es el núcleo del sistema operativo que gestiona el hardware y las operaciones básicas del sistema. El kernel es el componente más crítico, y cualquier alteración maliciosa en él puede comprometer todo el sistema.
Más de Morbeb: ¿Qué es un ransomware?
La técnica utilizada en esta vulnerabilidad
La vulnerabilidad CVE-2024-44243 explota un derecho específico relacionado con SIP conocido como com.apple.rootless.install.heritable, que se refiere a un privilegio otorgado a ciertos procesos en el sistema. Este derecho permite a los procesos modificados saltarse las restricciones de SIP, una de las protecciones más fuertes del sistema operativo.
En este caso, la vulnerabilidad se encuentra en un proceso llamado storagekitd, un servicio encargado de gestionar sistemas de almacenamiento en macOS. Un atacante podría abusar de esta vulnerabilidad para invocar procesos sin la validación adecuada, lo que le permitiría cargar un paquete de sistema de archivos malicioso en una ubicación protegida, /Library/Filesystems. Este archivo podría sobrescribir binarios críticos, como los asociados con la Utilidad de Discos, que podrían ser activados durante tareas como la reparación de discos. De esta manera, el atacante podría evadir las protecciones de SIP y realizar cambios no autorizados en el sistema.
Consecuencias y riesgos
Si un atacante consigue eludir SIP, el sistema macOS pierde una de sus principales barreras de seguridad. Esto podría facilitar la instalación de malware persistente que se mantendría en el sistema, incluso después de reinicios, y podría permitir al atacante modificar otras soluciones de seguridad para evadir la detección.
Otros descubrimientos recientes
Este no es el primer problema relacionado con SIP que Microsoft ha descubierto en macOS. Anteriormente, se encontraron vulnerabilidades similares, como CVE-2021-30892 (conocida como «Shrootless») y CVE-2023-32369 (denominada «Migraine»), que también permitían la evasión de las protecciones de SIP. Estas vulnerabilidades subrayan la importancia de mantener el sistema operativo actualizado y protegido frente a nuevas amenazas.
La protección de integridad del sistema (SIP) es una de las características más importantes de seguridad de macOS, diseñada para prevenir que el software malicioso realice cambios críticos en el sistema. Sin embargo, vulnerabilidades como CVE-2024-44243 demuestran que incluso los sistemas más seguros pueden tener fallos que los atacantes pueden explotar. Es fundamental que los usuarios mantengan sus dispositivos actualizados para protegerse contra estos riesgos.
La información es libre, pero investigar en profundidad, analizar datos y escribir en un lenguaje sencillo toma tiempo, apoya a nuestros editores a través de:
