Apple ha abordado recientemente una vulnerabilidad en macOS que permitía a los atacantes eludir la Protección de Integridad del Sistema (System Integrity Protection, SIP) para instalar controladores maliciosos a través de extensiones de kernel de terceros. Este fallo de seguridad, identificado como CVE-2024-44243, suponía un grave riesgo para los usuarios al comprometer una de las principales capas de seguridad del sistema operativo.
¿Qué es SIP y por qué es importante?
La Protección de Integridad del Sistema (SIP), conocida también como «rootless», es una funcionalidad de seguridad en macOS que impide que el software malicioso altere archivos y carpetas críticas del sistema. Esto se logra limitando los privilegios de la cuenta root en áreas protegidas. Solo los procesos firmados por Apple o con permisos especiales pueden realizar modificaciones en los componentes protegidos del sistema operativo.
Desactivar SIP normalmente requiere acceso físico al dispositivo comprometido, un reinicio del sistema y el arranque desde la Recuperación de macOS, lo que dificulta su explotación remota. Sin embargo, esta vulnerabilidad permitía a los atacantes locales con privilegios de root eludir esas restricciones y ejecutar operaciones maliciosas.
Detalles de la vulnerabilidad
El fallo residía en el daemon Storage Kit, responsable de gestionar el estado de los discos. Mediante ataques de baja complejidad que requerían la interacción del usuario, los atacantes podían:
- Instalar rootkits (controladores de kernel maliciosos).
- Crear malware persistente y difícil de eliminar.
- Eludir los controles de seguridad de Transparencia, Consentimiento y Control (TCC) para acceder a datos sensibles de las víctimas.
Microsoft, que reportó el problema, destacó que esta vulnerabilidad podría comprometer la seguridad de todo el sistema operativo, enfatizando la necesidad de soluciones de seguridad integrales para detectar comportamientos anómalos en procesos con permisos especiales.
Actualización de seguridad
Apple lanzó un parche para esta vulnerabilidad en las actualizaciones de seguridad de macOS Sequoia 15.2, disponibles desde el 11 de diciembre de 2024. Se recomienda a todos los usuarios instalar esta actualización lo antes posible para proteger sus sistemas frente a posibles explotaciones.
Otros fallos de seguridad en macOS descubiertos
En los últimos años, Microsoft ha identificado varias vulnerabilidades críticas en macOS, incluyendo:
- Shrootless (CVE-2021-30892): Permitía a los atacantes realizar operaciones arbitrarias y potencialmente instalar rootkits.
- Migraine (CVE-2023-32369): Otro bypass de SIP.
- Achilles (CVE-2022-42821): Explotable para desplegar malware a través de aplicaciones no confiables que evadían las restricciones de Gatekeeper.
- Powerdir (CVE-2021-30970): Permitía eludir la tecnología TCC para acceder a datos protegidos de los usuarios.
Conclusión
La reciente vulnerabilidad destaca la importancia de mantener macOS actualizado y de implementar prácticas de ciberseguridad sólidas. Aunque SIP ofrece una protección fundamental, las amenazas evolucionan constantemente, y tanto los usuarios como las empresas deben estar preparados para responder a estos desafíos emergentes.
vía: Bleeping computer
