Apple no corrige una vulnerabilidad en su Sistema de Protección de Integridad y publican un exploit que cabe en un tweet

SIP (System Integrity Protection), también llamado rootless, es un mecanismo de seguridad implementado por Apple en OS X El Capitán para que ciertos procesos del sistema, archivos y carpetas no puedan ser modificados o manipulados por otros procesos, incluso si son ejecutados por root o por un usuario con privilegios de root (sudo).

Hace poco Ian Beer de Google y Pedro Vilaça de SentinelOne nos hablaban de una vulnerabilidad (CVE-2016-1757) que permite la elevación de privilegios local evadiendo SIP y que afectaba a todas las versiones de OS X e iOS, un 0-day muy fácil de explotar mediante spear phishing o un ataque basado en navegador.

Para solucionarlo, Apple publicó esta semana OS X El Capitan 10.11.4 y iOS 9.3 que sin embargo parece que no ha terminado de solucionar el problema. Sirva de ejemplo el código del exploit que hace un par de días publicó el popular Stefan Esser (@i0n1c) y que cabe en... ¡un sólo tweet!:

Disable AppleKextExcludeList to pwn SIP on 10.11.4: ln -s /S*/*/E*/A*Li*/*/I* /dev/diskX;fsck_cs /dev/diskX 1>&-;touch /Li*/Ex*/;reboot

https://twitter.com/i0n1c/status/714261458851221504