Le SIP est une mesure de protection de macOS qui empêche aux applications d'avoir tous les droits sur un Mac, y compris quand elles possèdent les droits root. Le SIP ne peut pas être désactivé directement depuis macOS et implique de passer par la partition de récupération du Mac (et donc d'avoir physiquement l'ordinateur sous la main). Cependant, ce système n'est pas infaillible : Microsoft a remonté une faille permettant à des malandrins d'outrepasser cette mesure de sécurité.
La faille CVE-2023-32369 a été baptisée « Migraine » et présentée en détail sur le blog dédié à la sécurité de Microsoft. Ce nom de code vient du fait que la faille est liée à l'Assistant migration. En pratique, Microsoft a modifié cet outil qui est habituellement lancé uniquement pendant la création d'un nouveau compte utilisateur, impliquant que les autres utilisateurs soient déconnectés. Les chercheurs ont réussi à bidouiller le programme pour le faire démarrer même quand une session est ouverte.
Cependant, cette version altérée de l'app ne démarrait pas. Microsoft a donc eu l'idée de passer par l'Assistant réglages, le programme permettant de configurer un Mac la première fois qu'on l'allume. Après l'avoir mis en mode débug et passé les quelques fenêtres d'aide, le programme peut lancer un Assistant migration modifié : il ignore le fait que son code n'est pas signé.
Pour aller plus loin, les ingénieurs de Microsoft ont créé une sauvegarde Time Machine infectée. Ils ont utilisé un AppleScript pour lancer automatiquement l'Assistant Migration, passer les premiers panneaux de configuration et monter la sauvegarde sans que l'utilisateur ne remarque rien. Le Mac importe alors des données d'une sauvegarde vérolée.
Une faille dans le SIP sous-entend de nombreux problèmes. Il serait par exemple envisageable de créer des malwares impossibles à supprimer ou de modifier les fichiers système. Heureusement, la faille a été corrigée par la mise à jour macOS 13.4 déployée dans le courant du mois.
Source :
