Recientemente MSRV (Miscrosoft Security Vulnerability Research) publicó una vulnerabilidad de Escala de privilegios, denominada Shrootless, también conocida con el identificador CVE-2021-30892, afecta a varios sistemas operativos de Apple macOS.
Falla del SIP (System Integrity Protection)
SIP es el sistema de macOS para proteger la modificación de carpetas y archivos, bloqueando software potencialmente malicioso al restringir al usuario root limitando sus acciones sobre partes protegidas del sistema operativo.
La vulnerabilidad Shrootless es posible debido a que el deamon system_installd con caracterísitcas de com.apple.rootless.install.inheritable permite a cualquier subproceso pasar por encima de las restricciones de SIP. Al interceptar el proceso de instalación con un paquete especialmente creado, un atacante puede instalar un driver malicioso en el kernel (rootkit), sobreescribir sistemas de archivos o instalar malware persistente e indetectable.
A continuación, se listan las versiones afectadas por la vulnerabilidad:
- Inferiores a macOS Monterey 12.0.1
- Inferiores a macOS Catalina 10.15.7 Security Update 2021-007
- Inferiores a macOS Big Sur 11.6.1
Se recomienda actualizar el sistema operativo macOS a las versiones más resientes publicadas por Apple.
Más Información:
- https://www.bleepingcomputer.com/news/security/microsoft-shrootless-bug-lets-hackers-install-macos-rootkits/
- https://securityaffairs.co/wordpress/123898/hacking/macos-shrootless-cve-2021-30892-flaw.html
- https://nvd.nist.gov/vuln/detail/CVE-2021-30892
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30892
- https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/
- https://www.devdiscourse.com/article/technology/1786601-new-macos-vulnerability-could-allow-attackers-to-bypass-sip-microsoft