Google Project Zero ha descubierto una nueva vulnerabilidad de escape de Sandbox al aprovechar el componente central del mecanismo de comunicación de interprocesos de Mach (IPC) que sustenta el modelo de seguridad del sistema operativo de Apple.
Sus hallazgos, que combinan ingeniería inversa manual con técnicas de difusión avanzada, no solo exponen los riesgos sistémicos de los macOS, sino que también proporcionan herramientas y código de código abierto a la comunidad de seguridad más amplia.
Análisis de MacOS Coreaudio
El equipo del Proyecto Zero liderado por Dillon Franke se centró en el servicio Com.APLE.Audio.Audiohald Mach publicado por Coreaudio Daemon.
Esas metodologías, conocidas como pruebas de difusión automatizadas de fuzzing impulsado por el conocimiento, combinan pruebas de difusión automatizadas con un análisis manual profundo. Este enfoque híbrido ha resultado en:
Identificación de superficies de ataque accesibles: al analizar los perfiles de sandbox y el uso de herramientas como SBTOOL, los investigadores determinaron a qué servicios MACH se podían alcanzar desde el proceso de Sandbox.
Elija un objetivo de alto valor. Se centraron en los demonios tanto en privilegios críticos como en servicios de Mach accesibles debido a su complejidad y nivel de privilegio.
Desarrollo de arneses borrosos personalizados: en lugar de confiar únicamente en la API MACH_MSG para complicar las colecciones de cobertura de código, construí un controlador de mensajes llamado directamente dentro del marco de CoreAudio.
Esto permite un alto rendimiento, confuso durante el procesamiento y un seguimiento preciso de cobertura.
Detalles técnicos: Confusión de tipo de abuso
Los investigadores han descubierto un tipo crítico de vulnerabilidad de confusión en el procesamiento de los mensajes de MAC por Coreaudiod.
En particular, algunos manejadores de mensajes asumieron que los objetos recuperados del HALS_ObjectMAP interno son de un tipo específico (para iocontext) sin verificar esta suposición.
Al crear un mensaje de Mach que hace referencia a un objeto del tipo incorrecto, un atacante puede activar un flujo de control de memoria o secuestro unido a través de la tabla de funciones virtuales manipuladas (VTables).
Una prueba de concepto simplificada utilizando la API MACH_MSG demostró que este problema podría explotarse porque los procesos de sandboxed logran efectivamente el escape de sandbox.
La vulnerabilidad fue asignada a CVE-2024-54529 y fue parcheado por Apple en diciembre de 2024.
Para facilitar la confusión, el equipo pasó por alto los registros del servicio de MACH que se editaron utilizando la función.
Este código permite que el arnés confuso inserte mensajes directamente en el subsistema de destino sin colisionar con los registros de servicios a nivel de sistema.
Este estudio destaca la importancia de la rigurosa validación de entrada en los manejadores de mensajes IPC, especialmente para demonios privilegiados expuestos a procesos de sandbox.
El Proyecto Zero recomienda que Apple y otros proveedores de SO fuerzan tipos estrictos de verificaciones y consideren los cambios en la arquitectura del mecanismo IPC para reducir la superficie de ataque de los escapes de sandbox.
Según los arneses y metodología confusos de emisión abierta, los investigadores de Google han fortalecido a la comunidad de seguridad para investigar y mejorar los servicios de MacOS contra vulnerabilidades similares que resaltan tanto el poder como el peligro de los IPC de bajo nivel en los sistemas operativos modernos.
¿Configuración del equipo de SOC? – Descargue la Guía de precios de SIEM Ultimate (PDF) gratuita para equipos SOC -> Descarga gratuita
