Migraine, la nuova vulnerabilità di macOS: SIP a rischio?

Una nuova e preoccupante vulnerabilità macOS, identificata con il nome Migraine (emicrania in inglese) potrebbe consentire a un estraneo di aggirare automaticamente il System Integrity Protection (SIP) ed eseguire operazioni di vario tipo sulla macchina locale.

La falla, nota anche come CVE-2023-32369, si è presentata con i recenti aggiornamenti di sicurezza rilasciati da Apple lo scorso 18 maggio, ed è stata segnalata da Microsoft Security Vulnerability Research (MSVR).

La tecnologia nota come SIP è una parte fondamentale di macOS, visto che impedisce a un utente root di eseguire operazioni che potrebbero compromettere l’integrità del sistema. A livello pratico, dunque, bypassare questa componente del sistema operativo, può comportare enormi rischi per l’utente.

Un intruso con libertà d’azione, in questa ottica, può installare malware e intaccare macOS in svariati modi.

Migraine, pur essendo una scoperta recente, non è un caso isolato. Un caso simile si è verificato in occasione della scoperta della vulnerabilità Shrootless (CVE-2021-30892) risalente al 2021.

Migraine, SIP a rischio bypass: quali sono i pericoli?

A livello pratico, SIP funziona come un sistema che utilizza un ambiente sandbox, appositamente realizzato da Apple, per proteggere i suoi dispositivi. Sotto questo punto di vista, le restrizioni del file system, risultano un fattore fondamentale in termini di sicurezza.

Per l’utente è impossibile disattivare il sistema SIP e, la possibilità da parte di qualcuno di aggirare le restrizioni e accedere a file e dati protetti, rappresenta un enorme pericolo per gli utenti Mac.

Come già accennato, una volta che un cybercriminale riesce a sfruttare Migraine per aggirare SIP, può avere una libertà d’azione ampia, che include azioni come:

• Attivare malware impossibili da cancellare per l’utente;
• Espandere i potenziali attacchi attuabili, includendo tecniche che coinvolgono anche utente e kernel;
• Manomettere l’integrità del sistema, abilitando rootkit;
• Bypassare completamente il TCC (Transparency, Consent, and Control).

Apple, con tutta probabilità, entro pochi giorni offrire aggiornamenti adeguati per i propri clienti.

Il caso Migraine dimostra come la ricerca collaborativa è essenziale per quanto riguarda la sicurezza informatica. In questo modo è possibile agire uniti per far fronte comune alle sempre nuove minacce del Web.