Se encontró un nuevo exploit de día cero para macOS, y este ha estado presente en el sistema operativo desde 2002. El investigador que lo encontró, Siguza, dice que le permite a cualquier usuario obtener el control total de una Mac siempre que tenga acceso físico. Esto significa que, afortunadamente, el acceso remoto no es posible.
macOS día cero
Parece que el exploit no es muy sofisticado y cerrará la sesión del usuario una vez que se aproveche. Sin embargo, afecta a todas las versiones de macOS, aunque dejó de funcionar en macOS High Sierra 10.13.2. Es un ataque de escalada de privilegios locales, lo que significa que la persona puede obtener acceso de root debido a una vulnerabilidad en ‘IOHIDFamily’.
IOHIDFamily es una extensión del kernel que brinda a los usuarios una interfaz de varios dispositivos de interfaz humana (HID). Esto se puede usar durante el desarrollo de la aplicación iOS.
IOHIDFamily ha sido notorio en el pasado por las muchas condiciones de carrera que contenía, lo que finalmente llevó a que gran parte de ella se reescribiera para hacer uso de puertas de comando, así como a que gran parte se bloqueara mediante derechos. Originalmente estaba buscando a través de su fuente con la esperanza de encontrar una fruta al alcance de la mano que me permitiera comprometer un kernel de iOS, pero lo que no sabía entonces es que algunas partes de IOHIDFamily existen solo en macOS, específicamente IOHIDSystem, que contiene la vulnerabilidad discutida aquí.
El exploit que proporcionó el investigador se llama IOHIDeous y es una prueba de concepto que puede deshabilitar permanentemente las funciones de seguridad System Integrity Protection (SIP) y Apple Mobile File Integrity (AMFI). Estas características ayudan a proteger la máquina del malware.
Siguza ya se ha puesto en contacto con Apple y seguramente pronto habrá una actualización de seguridad.
