Um especialista em segurança descobriu, por acaso, que um software da Microsoft para o macOS permitia que um invasor acessasse indevidamente a memória de qualquer processo do sistema de Macs, mesmo com a System Integrity Protection (SIP) devidamente habilitada.

O problema ocorreu especificamente no macOS Sequoia 15, quando a Apple concedeu erroneamente um entitlement de depuração avançada ao ProcDump, um software da Microsoft que permite a desenvolvedores gerar dumps relacionados a crashs e ao uso de memória dos seus apps.

De acordo com o site Help Net Security, o pesquisador Koh M. Nakagawa descobriu a vulnerabilidade logo quando o ProcDump foi lançado no macOS — ocasião na qual ele acreditou que o app seria inútil justamente por não poder gerar dumps para a maioria dos processos sem desabilitar a SIP.

No entanto, ao testar a ferramenta, veio a surpresa: ela conseguia gerar com sucesso dumps da memória dos processos — incluindo processos do sistema —, mesmo com a SIP ativada. Aparentemente, a Microsoft se aproveitou de um vacilo da Apple para tornar o seu software útil.

Ao investigar mais, descobri que o ProcDump para Mac chama o gcore internamente, e o gcore concedia entitlements especiais. Provavelmente a Microsoft percebeu que esse entitlement havia sido adicionado ao gcore e é por isso que criaram e lançaram o ProcDump para Mac.

Normalmente, o gcore não deveria conseguir ler regiões de memória protegidas sem condições específicas, mas graças a esse entitlement era possível gerar dumps de memória de qualquer processo — incluindo de serviços do sistema que lidam com criptografia e credenciais.

O problema

Isso significa que, por meio do ProcDump, era possível usar uma técnica para buscar a chave mestra usada para criptografar o keychain do macOS — o que possibilitaria a um invasor descriptografar o Acesso às Chaves do sistema sem a necessidade de o usuário colocar a sua senha.

A vulnerabilidade também permitia burlar proteções do sistema de Transparência, Consentimento e Controle (TCC), bem como recuperar versões descriptografadas de binários de apps nativos paro iOS em Macs com Apple Silicon — algo que geralmente requer um iPhone com jailbreak.

Alertada, a Apple removeu o entitlement problemático no macOS 15.3, lançado em janeiro. O pesquisador destacou que não há indícios de que a vulnerabilidade (que recebeu o código CVE-2025-24204) tenha sido explorada, mas alertou que é provável a existência de falhas semelhantes no sistema.

via AppleInsider