macOS : une vulnérabilité permettait l’installation de rootkits, Apple déploie un correctif !
Apple a récemment corrigé une vulnérabilité dans macOS qui permettait à des attaquants de contourner la System Integrity Protection (SIP) et d’installer des logiciels malveillants, dont des rootkits. Faisons le point.
Sommaire
Qu’est-ce que la System Integrity Protection (SIP) ?
Commençons par un rappel sur la fonctionnalité SIP, concernée directement par cette faille de sécurité. La System Integrity Protection, également appelée "rootless", est une fonctionnalité de sécurité de macOS conçue pour empêcher les malwares d'apporter des modifications à certains dossiers et fichiers spécifiques du système d'Apple.
Sur un Mac, la fonctionnalité SIP limite les privilèges du compte root dans les zones protégées et ne permet qu’à des processus signés par Apple, ou disposant d’autorisations spéciales, de modifier les composants protégés. Si quelqu'un souhaite désactiver SIP, il est nécessaire de redémarrer la machine pour entrer dans le mode de récupération macOS, ce qui impose un accès physique à la machine compromise.
La protection de l'intégrité du système (SIP) constitue une protection essentielle contre les logiciels malveillants, les attaquants et les autres menaces de cybersécurité, en établissant une couche fondamentale de protection pour les systèmes macOS.", précise Microsoft, au sujet de SIP.
La faille CVE-2024-44243 découverte dans macOS
L'équipe Microsoft Threat Intelligence a fait la découverte d'une nouvelle vulnérabilité, référencée sous l’identifiant CVE-2024-44243, et permet de contourner la fonctionnalité System Integrity Protection. Située dans le service Storage Kit, cette faille de sécurité peut être exploitée uniquement par des attaquants locaux disposant de privilèges root, dans le cadre d’attaques de faible complexité nécessitant une interaction avec l’utilisateur.
Une exploitation réussie de cette faille permettrait :
- De contourner les restrictions root imposées par SIP, sans nécessiter d’accès physique.
- D’installer des rootkits.
- De créer des logiciels malveillants persistants qu'il serait très difficile de supprimer.
- De contourner le mécanisme de sécurité Transparency, Consent, and Control (TCC) pour accéder aux données des victimes.
Un correctif déployé par Apple
Apple a publié un correctif pour cette vulnérabilité dans le cadre des mises à jour de sécurité pour macOS Sequoia 15.2, déployées il y a un peu plus d'un mois, le 11 décembre 2024. Cette mise à jour de sécurité corrige bien d'autres vulnérabilités, comme vous pouvez le constater dans le bulletin de sécurité d'Apple.
Les utilisateurs de macOS sont fortement encouragés à mettre à jour leur système pour se protéger de ces vulnérabilités récentes.
