A Microsoft detetou recentemente um exploit de segurança que pode permitir aos atacantes contornar uma funcionalidade de segurança essencial em computadores com o macOS. Apelidada de “Migraine”, a vulnerabilidade pode ser usada para contornar a Proteção de Integridade do Sistema (SIP) da Apple no macOS – um recurso que protege partes do sistema operacional relacionadas à integridade do sistema, restringindo o acesso a determinados arquivos – e instalar malware no computador da vítima. A Microsoft avisou a Apple sobre a falha de segurança e a empresa de Cupertino corrigiu a falha com a sua mais recente atualização de segurança.
De acordo com os detalhes partilhados pela Microsoft numa publicação no blogue, a exploração de segurança “Migraine” baseia-se no Migration Assistant, uma ferramenta fornecida pela Apple para permitir que os utilizadores transfiram ficheiros de um Mac para outro ou de um PC Windows para um Mac. A aplicação Migration Assistant da Apple tem acesso ilimitado à raiz, o que lhe permite executar a sua função de transferência de dados, e os investigadores de segurança da Microsoft aproveitaram o “direito” especial concedido à ferramenta para a exploração.
Depois de modificar o Assistente de Migração para ser executado sem terminar a sessão de um utilizador, a Microsoft conseguiu executar a ferramenta em modo de depuração para contornar uma verificação de assinatura. A empresa utilizou uma cópia de segurança de 1 GB do Time Machine com software malicioso, utilizando um script para fazer com que o Migration Assistant importasse a cópia de segurança e infectasse o sistema anfitrião. Todo o processo contornou a funcionalidade de Proteção da Integridade do Sistema que foi introduzida pela primeira vez no macOS em 2015.
É importante notar que o Assistente de Migração está normalmente disponível durante a configuração do utilizador, o que significa que um atacante teria de ter acesso local a uma máquina. A Microsoft afirma que os bypasses arbitrários do sistema, como o Migraine, podem criar ficheiros protegidos pelo SIP, o mesmo mecanismo que contorna, tornando a eliminação muito difícil. Os atacantes também podem executar código arbitrário do kernel e adulterar o sistema para ativar rootkits. A Microsoft acrescenta que estas explorações também podem ser utilizadas para obter acesso a dados privados, bem como a acessórios e dispositivos informáticos.
Os utilizadores que actualizaram os seus computadores para o macOS 13.4 após o seu lançamento em 18 de maio devem estar a salvo da exploração, que foi corrigida pela Apple. A Microsoft revelou a falha de segurança à Apple, permitindo que a empresa implementasse uma correção para o problema. Entretanto, a empresa tem agradeceu a Jonathan Bar Or, Anurag Bohra e Michael Pearse, da Microsoft, por terem identificado o exploit.