Apple corregge grave falla di sicurezza in macOS che consentiva l'installazione di malware persistente

Apple ha recentemente risolto una vulnerabilità di macOS che consentiva agli attaccanti di aggirare il Sistema di Protezione dell'Integrità (SIP) e installare driver di kernel malevoli caricando estensioni di kernel di terze parti.

Il Sistema di Protezione dell'Integrità, noto anche come "rootless", è una funzionalità di sicurezza di macOS che impedisce a software malevoli di alterare cartelle e file specifici, limitando i poteri dell'account root in aree protette del sistema operativo.

La vulnerabilità, identificata come CVE-2024-44243, è stata scoperta nel demone Storage Kit che gestisce lo stato del disco. Può essere sfruttata solo da attaccanti locali con permessi di root in attacchi a bassa complessità che richiedono l'interazione dell'utente.

Un attaccante in grado di sfruttare la vulnerabilità avrebbe così l'opportunità di aggirare le protezioni del SIP e, di conseguenza, installare rootkit, creare malware persistente e "non eliminabile" o eludere i controlli di sicurezza di Trasparenza, Consenso e Controllo (TCC) per accedere ai dati personali presenti sui sistemi presi di mira.

Apple ha già corretto la vulnerabilità negli aggiornamenti di sicurezza per macOS Sequoia 15.2, rilasciati l'11 dicembre 2024, motivo per il quale è consigliato a tutti procedere con l'aggiornamento nel caso non sia ancora stato eseguito o non siano attivate le misure di aggiornamento automatico.

Seguendo le procedure di responsibile disclosure, Microsoft ha fornito ora un approfondimento tecnico sulla vulnerabilità CVE-2024-44243, sottolineando in particolare che la possibilità di scavalcare le protezioni del SIP avrebbe un impatto significativo sulla sicurezza dell'intero sistema operativo, con possibile conseguenze gravi. La società di Redmond ha sottolineato la necessità di utilizzare soluzioni di sicurezza capaci di "rilevare comportamenti anomali da processi con autorizzazioni speciali".