CVE-2023-42931 Detection: Critical macOS Vulnerability Enabling Easy Privilege Escalation and Root Access
Índice:
Pesquisadores de segurança alertam sobre uma vulnerabilidade crítica de escalonamento de privilégios em múltiplas versões do macOS que permite a usuários não autorizados, incluindo aqueles com direitos de convidado, obter acesso total de root à instância afetada.
Detectar Tentativas de Exploração do CVE-2023-42931
Com um aumento exponencial nos volumes e na sofisticação dos ataques, assume-se que o cenário de ameaças de 2024 será ainda mais desafiador do que o do ano passado. O custo dos ataques cibernéticos na economia global é estimado ultrapassar US$10,5 trilhões até o final de 2024. Levando em consideração mais de 29 mil novos CVEs descobertos em 2023, com um aumento previsto de 14,5% para 2024, os profissionais de segurança necessitam de soluções avançadas para detectar e se defender das ameaças de forma proativa.
Para ajudar os profissionais de segurança a detectar atividades maliciosas ligadas à exploração do CVE-2023-42931, a Plataforma SOC Prime para defesa cibernética coletiva oferece uma regra Sigma curada com base no exploit de prova de conceito (PoC) publicamente acessível na web.
A regra acima é compatível com 23 tecnologias de SIEM, EDR, XDR e Data Lake e é mapeada para o framework MITRE ATT&CK v14.
Os defensores cibernéticos podem mergulhar em toda a pilha de detecção destinada a detectar exploração de vulnerabilidades para aumentar a eficiência do SOC e facilitar a investigação de ameaças. Clique no botão Explore Detecções abaixo e aprofunde-se nas extensas coleções de regras Sigma enriquecidas com metadados relevantes. Especificamente, as regras são acompanhadas de links CTI, referências ATT&CK, recomendações de triagem, cronogramas de ataque e mais.
Análise do CVE-2023-42931
De acordo com a análise detalhada por Yann Gascuel da Alter Solutions, o CVE-2023-42931 origina-se de uma funcionalidade da utilidade de linha de comando “diskutil” que aceita opções de montagem através dos argumentos “-mountOptions“. Especificamente, qualquer ator de ameaça local, incluindo aquele com direitos de convidado, pode montar sistemas de arquivos com opções específicas, elevando com sucesso os privilégios a root.
Especificamente, os adversários podem modificar um arquivo de propriedade root para qualquer binário arbitrário desejado e adicionar o bit setuid nele aproveitando o parâmetro diskutil -mountOptions para resultar em um sistema de arquivos com uma flag ¨noowners¨ . Consequentemente, isso resultaria em uma escalonamento de privilégios quando o arquivo em destaque fosse remontado no modo ¨owners¨.
Embora a rotina pareça bastante simples, o pesquisador de segurança indica que a hierarquia moderna de disco/sistema de arquivos do macOS e as medidas de proteção da System Integrity Protection (SIP) impedem modificações maliciosas de arquivos sensíveis do sistema no nível do kernel. No entanto, Yann Gascuel desenvolveu um caminho de exploração funcional para superar as proteções.
A vulnerabilidade CVE-2023-42931 afeta o macOS Monterey antes da versão 12.7.2, o macOS Ventura antes da versão 13.6.3 e o macOS Sonoma antes da versão 14.2.Após a falha ter sido relatada ao fornecedor, a Apple emitiu um patch nas versões do macOS Sonoma 14.2, Ventura 13.6.3, e Monterey 12.7.2.
O aumento da sofisticação e um crescimento exponencial nos volumes de ataques exigem ultra-responsividade dos defensores apoiados por tecnologias inovadoras e defesa cibernética coletiva. Comece com o Uncoder IO, um IDE de código aberto para Engenharia de Detecção, para ajudá-lo a escrever código de detecção mais rápido e melhor contra ameaças emergentes, agilizar a correspondência de IOC e traduzir regras em várias linguagens de cibersegurança de forma dinâmica. Contribua para o Uncoder no GitHub para nos ajudar a evoluir o projeto e fomentar a colaboração na indústria em grande escala.
