System Integrity Protection (SIP) es una de las medidas implementadas por Apple en OS X 10.11 El Capitan para proteger el sistema ante posibles ataques. Esta vulnerabilidad descubierta por el investigador Pedro Vilaça ha sido presentada en el SysCan360 2016 en Singapur.
La vulnerabilidad es un bug que permite la ejecución de código arbitrario sobre cualquier binario. Puede sobrepasar SIP sin la necesidad de un expolio de kernel, aunque para poder aprovechar este bug es necesario haber comprometido el sistema a través de un ataque de phishing, explotando una vulnerabilidad del navegador o similar.
Esta vulnerabilidad es extremadamente fiable y estable y además no cuelga ordenadores o procesos. Esta clase de ataque es del tipo que se utiliza típicamente buscando objetivos muy determinados. Debido a la dificultad para detectarlo, este bug permite ataques sutiles que no son detectados por los mecanismos de defensa tradicionales.
Una copia de las diapositivas de la presentación de la vulnerabilidad está disponible en este enlace. SentinelOne ya ha comunicado la existencia de esta vulnerabilidad a Apple y se espera una actualización de seguridad muy pronto. No se ha encontrado ningún tipo de malware que aproveche este problema de seguridad.
