A Microsoft divulgou informações sobre uma vulnerabilidade corrigida no macOS, catalogada como CVE-2024-44243, que permitia a invasores, atuando com privilégios de “root”, contornar a proteção System Integrity Protection (SIP) do sistema operacional e instalar drivers de kernel maliciosos por meio de extensões de kernel de terceiros. Classificada como de severidade média, a vulnerabilidade foi corrigida na atualização do macOS Sequoia 15.2, lançada pela Apple no mês passado. A Apple descreveu a vulnerabilidade como um “problema de configuração” que permitia que um aplicativo malicioso modificasse partes protegidas do sistema de arquivos.

Segundo Jonathan Bar Or, da equipe de inteligência de ameaças da Microsoft, a exploração dessa falha poderia ter consequências graves, como facilitar a instalação de rootkits, criar malware persistente, contornar as proteções de Transparência, Consentimento e Controle (TCC) e ampliar a superfície de ataque para técnicas adicionais. Jonathan Bar Or explicou que, “um atacante que consegue operar como root pode adicionar um novo pacote ao sistema de arquivos e usar o storagekitd para executar binários personalizados, efetivamente contornando as proteções do SIP.

Operações como apagar o disco em um sistema de arquivos recém-criado podem ativar o bypass do SIP.” Essa revelação surge quase três meses após a Microsoft divulgar outra vulnerabilidade no framework Transparência, Consentimento e Controle (TCC) do macOS (CVE-2024-44133), que permitia o acesso a dados sensíveis.