Especialistas da Microsoft descobriram uma vulnerabilidade no Apple macOS, que recebeu o nome de código Migraine (“Migraine”) – o fato é que ele é explorado por meio do componente Migration Assistant e ignora o sistema de proteção System Integrity Protection (SIP), que estreou em OS X El Capitan em 2015.
A ferramenta de segurança SIP adiciona várias camadas adicionais de segurança ao sistema, bloqueando o acesso ao aplicativo e a capacidade de modificar os arquivos do sistema no nível raiz. A função pode ser desativada manualmente, mas não é fácil, e a Microsoft encontrou uma maneira pela qual os invasores podem contornar essa proteção.
Em condições normais, o Migration Assistant só funciona quando uma nova conta de usuário é configurada, o que significa que, para explorar a vulnerabilidade, um hacker hipotético precisa de acesso físico ao computador para fazer logout completo. Para demonstrar a exploração, os pesquisadores da Microsoft modificaram o Migration Assistant para executar a ferramenta sem fazer logout e iniciaram o aplicativo Setup Assistant no modo de depuração, para que ele ignore as alterações no Migration Assistant. Em seguida, uma cópia de backup do sistema foi necessária para instalá-lo em um computador – os pesquisadores prepararam uma imagem do Time Machine de 1 GB com componentes maliciosos integrados e lançaram um AppleScript que montou essa cópia sem intervenção do usuário. Como resultado, tornou-se possível executar código arbitrário em um computador.
A Microsoft notificou a Apple sobre a vulnerabilidade e ela foi fechada com a atualização do macOS 13.4 de 18 de maio – os usuários de Mac são aconselhados a instalá-lo imediatamente.