Rilevamento CVE-2023-42931: Vulnerabilità Critica in macOS che Abilita Facile Escalation dei Privilegi e Accesso Root
Indice:
I ricercatori di sicurezza avvertono di una vulnerabilità critica di escalation dei privilegi in più versioni di macOS che consente agli utenti non autorizzati, inclusi quelli con i diritti di ospite, di ottenere l’accesso completo come root all’istanza interessata.
Rileva i tentativi di sfruttamento di CVE-2023-42931
Con un aumento esponenziale dei volumi e della sofisticazione degli attacchi, il panorama delle minacce del 2024 si presume sarà ancora più impegnativo rispetto allo scorso anno. Il costo degli attacchi informatici sull’economia globale è stimato superare i 10,5 trilioni di dollari entro la fine del 2024. Tenendo conto di oltre 29.000 nuovi CVE scoperti nel 2023, con un aumento previsto del 14,5% per il 2024, i professionisti della sicurezza richiedono soluzioni avanzate per rilevare e difendersi proattivamente dalle minacce.
Per aiutare i professionisti della sicurezza a rilevare attività dannose legate allo sfruttamento di CVE-2023-42931, la piattaforma SOC Prime per la difesa informatica collettiva offre una regola Sigma curata basata sulla prova di concetto (PoC) dello sfruttamento accessibile pubblicamente sul web.
La regola sopra è compatibile con 23 tecnologie SIEM, EDR, XDR e Data Lake e mappata al framework MITRE ATT&CK v14.
I difensori informatici possono immergersi nello stack di rilevamento completo mirato al rilevamento delle vulnerabilità per aumentare l’efficienza del SOC e semplificare le indagini sulle minacce. Premi il Esplora Rilevamenti pulsante qui sotto e approfondisci le estese collezioni di regole Sigma arricchite con metadati pertinenti. In particolare, le regole sono accompagnate da link CTI, riferimenti ATT&CK, raccomandazioni per la triage, timeline degli attacchi e altro.
Analisi CVE-2023-42931
Secondo la dettagliata analisi di Yann Gascuel di Alter Solutions, CVE-2023-42931 deriva da un’utilità della riga di comando “diskutil” che accetta opzioni di montaggio tramite gli argomenti “-mountOptions“. In particolare, qualsiasi attore di minaccia locale, incluso quello con diritti di ospite, può montare file system con opzioni specifiche, elevando con successo i privilegi a root.
In particolare, gli avversari potrebbero modificare un file di proprietà di root in qualsiasi binario arbitrario desiderato e aggiungere il bit setuid sfruttando il parametro diskutil -mountOptions per finire con un file system con un flag ¨noowners¨ . Di conseguenza, questo comporterebbe un’escalation dei privilegi quando il file in questione verrebbe rimontato in modalità ¨owners¨.
Anche se la procedura sembra piuttosto semplice, il ricercatore di sicurezza indica che la moderna gerarchia disco/file system di macOS e le misure protettive della System Integrity Protection (SIP) impediscono modifiche dannose dei file di sistema sensibili a livello di kernel. Tuttavia, Yann Gascuel ha progettato un percorso di exploit funzionante per superare le protezioni.
La vulnerabilità CVE-2023-42931 riguarda macOS Monterey prima della versione 12.7.2, macOS Ventura prima della versione 13.6.3 e macOS Sonoma prima della versione 14.2.Dopo la segnalazione del difetto al fornitore, Apple ha rilasciato una patch nelle versioni macOS Sonoma 14.2, Ventura 13.6.3, e Monterey 12.7.2.
L’aumento della sofisticazione e la crescita esponenziale dei volumi di attacco richiedono un’ultra-reattività dai difensori supportati da tecnologie innovative e difesa informatica collettiva. Inizia con Uncoder IO, un IDE open-source per il Detection Engineering, per aiutarti a scrivere codice di rilevamento più velocemente e meglio contro le minacce emergenti, semplificare il confronto degli IOC e tradurre le regole in diverse lingue di cybersecurity al volo. Contribuisci a Uncoder su GitHub per aiutarci a far evolvere il progetto e promuovere la collaborazione del settore su larga scala.
