macOS aveva una vulnerabilità, scoperta da Microsoft

A ogni aggiornamento del sistema operativo, i produttori, Apple, Google o Windows che sia, introducono le cosiddette patch di sicurezza, correzioni per intercettare falle che potrebbero essere sfruttate da malintenzionati per accedere ai dispositivi. 

Una di queste, che diciamo subito è stata corretta da Apple in macOS 13.4, è stata scoperta nientemeno che da Microsoft e riguarda la Protezione dell'integrità di sistema (SIP, System Integrity Protection) di macOS. 

Introdotta con OS X El Capitan nel 2015, SIP aggiunge diversi livelli di sicurezza per impedire alle app di accedere e modificare i file di sistema a livello di root. Se un utente desidera, lo può disabilitare manualmente, ma deve dimostrare di essere l'amministratore del dispositivo, e non è proprio un'operazione alla portata di tutti. Ma Microsoft ha scoperto che un malintenzionato potrebbe aggirare SIP attraverso un exploit chiamato Migraine.

Migraine è così chiamato perché sfrutta una falla nell'Assistente migrazione (Migration assistant) di macOS, pensato per spostare i dati quando si cambia computer ed è dotato di accesso root.

Normalmente, Assistente migrazione sarebbe accessibile solo durante il processo di configurazione di un nuovo account utente, quindi disconnettendo l'utente attuale e accedendo fisicamente al computer, ma i ricercatori di Microsoft ne hanno creato una versione modificata che non causasse la disconnessione dell'utente. Inoltre, per permetterne l'esecuzione (altrimenti un'app modificata senza firma sarebbe stata bloccata), hanno attivato Impostazione Assistita in modalità debug. 

A questo punto, Assistente Migrazione richiederebbe un disco da ripristinare, e Microsoft glielo ha fornito, creando un backup di Time Machine da 1 GB che avrebbe potuto contenere malware. Sembra una procedura complicata? Non proprio, perché i ricercatori di Microsoft hanno creato un AppleScript che permette di montare automaticamente il backup e farlo interagire con l'interfaccia di Assistente migrazione, tutto senza che l'utente se ne accorga. In pratica, il Mac importerebbe dati da un backup potenzialmente "arricchito" da malware.

La cosa ancora più preoccupante è che questo esploit permetterebbe non solo di bypassare il SIP quando il malintenzionato ha accesso fisico al computer, ma anche da remoto.

Come ha spiegato Microsoft nel suo articolo, bypassare SIP può portare a "gravi conseguenze", poiché ciò consente agli aggressori di accedere a tutti i file di sistema, il che semplifica l'installazione di malware e rootkit.

Come dicevamo, Apple ha già corretto questa falla in macOS 13.4 e ha ringraziato Microsoft per questo. Se non l'avete ancora fatto, potete aggiornare il costro Mac cliccando sull'icona Apple in alto a sinistra, e poi andando su Impostazioni di sistema > Generale > Aggiornamento software.