SIP: un nuevo exploit vulnera la seguridad de “El Capitán”

Un anuncio sobre un nuevo exploit (0)day para pasar por alto a SIP está a la venta y ha sido publicado en el foro subterráneo.

System Integrity Protection (SIP) es una tecnología de seguridad presente en OS X El Capitán (10.11) que está diseñada para ayudar a evitar que software potencialmente malicioso modifique archivos y carpetas protegidos en Mac.

Nombre corto de la amenaza

0day OSX exploit (SIP bypass)

Breve Descripción

System Integrity Protection (SIP) es una tecnología de seguridad en OS X El Capitán (10.11) y más tarde está diseñada para ayudar a evitar que software potencialmente malicioso modifique archivos y carpetas protegidos en Mac.

La protección de Integridad del sistema restringe la cuenta de usuario raíz y limita las acciones que el usuario root puede realizar en las partes protegidas del sistema operativo Mac.

La protección de integridad del sistema está diseñada para permitir la modificación de estas partes protegidas solo mediante procesos firmados por Apple y que tienen derechos especiales para escribir en archivos del sistema, como actualizaciones de software de Apple e instaladores de Apple.

El 19/10/2017 el usuario SuperJITA publicó un anuncio sobre la venta de 0day exploit para evitar el SIP en un foro clandestino.

En este anuncio, no señaló el precio y afirmó que la venta es exclusiva (solo una venta).

El vendedor informó que exploit funciona en las versiones 10.11.0 a 10.13.x de OSX y necesita derechos de root.

El 20/10/2017, informó que el exploit ya se ha vendido.

Sin embargo, el 11/07/2017 SuperJITA creó un nuevo tema dentro del citado foro, en donde afirma que el vendedor no le pagó dinero por la explotación: 15,000 euros.

El usuario 500mhz con registro de antigüedad en el foro (año 2008) publicó un mensaje que decía que había verificado este exploit y que realmente funciona, lo comprobó en las versiones 10.13.1 (17B48), 10.13 (17A291m), 10.13 (17A360a).

Group IB
                      Group IB

Los especialistas de Group-IB suponen que el vendedor SuperJITA es sospechosa por las siguientes razones:

Él vendió este exploit para un solo comprador e informó el 20 de octubre que lo hizo, pero a principios de noviembre intentó venderlo a otro usuario.

Otro tema creado por SuperJITA se relaciona con la compra de exploits, por lo que asumimos que no desarrolló 0day exploit para SIP bypass y solo lo revende.