Vulnerabilità critica su macOS: lettura della memoria e furto dati con gcore

Vulnerabilità critica su macOS: lettura della memoria e furto dati con gcore

Riassunto chiaro e consigli immediati

Una grave vulnerabilità individuata su macOS (CVE-2025-24204) consentiva a qualsiasi applicazione malevola di leggere la memoria di processi protetti, accedendo a dati altamente sensibili come il Keychain (dove sono custodite password e certificati), contenuti di applicazioni iOS, e dati protetti da meccanismi di sicurezza avanzati, anche in presenza delle più recenti difese Apple.
Aggiorna subito il sistema a macOS Sequoia 15.4 o successivi e limita l’uso di software non verificati. Disabilita o monitora strumenti che utilizzano gcore fino all’update.

Che cos’è la vulnerabilità CVE-2025-24204

Nel marzo 2025, i ricercatori di sicurezza informatica hanno annunciato la scoperta di una vulnerabilità critica (identificata come CVE-2025-24204) all’interno di macOS Sequoia, relativamente all’utilizzo improprio dello strumento di sistema gcore. Questa utilità, di norma utilizzata per generare il dump di memoria dei processi utili alla diagnostica, ha ricevuto per errore un permesso speciale – il cosiddetto entitlement com.apple.system-task-ports.read – che le permetteva di accedere alla memoria di ogni processo, anche quelli protetti dal System Integrity Protection (SIP).
Grazie a questa falla, un aggressore avrebbe potuto leggere dati sensibili senza alcuna richiesta di password o conferma utente, come avviene normalmente grazie ai sistemi di protezione Apple. La vulnerabilità ha colpito tutte le versioni di macOS Sequoia fino alla release 15.3; la correzione è arrivata solo con l’aggiornamento 15.4.

Da dove nasce il problema

Il ricercatore Koh M. Nakagawa di FFRI Security ha scoperto la falla dopo aver osservato il funzionamento dello strumento ProcDump-for-Mac, sviluppato da Microsoft. Notando che era possibile eseguire il dump dei processi anche con SIP attivo (cosa che normalmente dovrebbe essere bloccata), Nakagawa ha indagato e ha scoperto che lo strumento chiama internamente gcore, che a sua volta aveva ricevuto l’entitlement speciale e pericolosissimo per errore da Apple.

La causa di fondo è stata quindi un errore nella configurazione dei permessi interni di macOS: gcore ha potuto superare i limiti previsti dalle difese di sistema, come SIP e la sandbox, violando uno dei maggiori perimetri di sicurezza del sistema operativo Apple.

Quali sono i rischi per gli utenti

Le conseguenze per chi utilizza un Mac sono estremamente serie:

  • Un’applicazione, anche non privilegiata, poteva leggere la memoria di qualsiasi processo, inclusi quelli protetti.
  • Era possibile estrarre il contenuto del Keychain, incluse password, certificati, chiavi private e altri dati sensibili custoditi da macOS.
  • Si potevano accedere dati protetti da Transparency, Consent, and Control (TCC), ovvero dati personali, informazioni confidenziali e preferenze che normalmente richiedono autorizzazione esplicita.
  • In alcuni casi, si potevano anche decifrare app iOS installate su Mac, ottenendo accesso a risorse normalmente cifrate.
  • Tutto ciò aggirando il System Integrity Protection e altre contromisure di sicurezza, senza che l’utente dovesse confermare alcuna operazione.

Si tratta di una violazione di uno dei pilastri della sicurezza macOS: nemmeno i malware più avanzati dovevano essere capaci di arrivare a queste informazioni senza l’esplicito consenso dell’utente o l’assenza di SIP.

La risposta di Apple

Apple è stata informata privatamente del problema dai ricercatori. In breve tempo, la società ha:

  • Rimosso l’entitlement pericoloso da gcore a partire dalla versione macOS Sequoia 15.3.
  • Pubblicato un aggiornamento di sicurezza in macOS Sequoia 15.4 correggendo la falla.
  • Informato gli utenti della gravità della vulnerabilità e dell’importanza dell’aggiornamento.

L’assegnazione del punteggio CVSS 9.8/10 (valutazione CRITICA) esprime la massima urgenza: la falla era sfruttabile da remoto e non richiedeva alcuna interazione utente o privilegi.

Che cosa devono fare gli utenti

La priorità è aggiornare immediatamente il proprio Mac a macOS Sequoia 15.4 o versioni successive. Gli aggiornamenti Apple sono disponibili tramite il menu Aggiornamento Software nelle Preferenze di Sistema/Impostazioni.

Ulteriori raccomandazioni rapide:

  • Non utilizzare strumenti diagnostici non verificati che possano sfruttare la falla gcore.
  • Controllare che app di terze parti installate in passato non richiedano permessi anomali o agiscano all’insaputa dell’utente.
  • In assenza dell’aggiornamento, limitare al massimo l’installazione di nuove app (soprattutto da fonti non ufficiali).

Approfondimento tecnico: come è avvenuta l’escalation di privilegi

La vulnerabilità ricade nella categoria Exposure of Sensitive Information to an Unauthorized Actor (CWE-200). In pratica, l’entitlement concesso a gcore permetteva al processo di leggere porte di sistema riservate, superando la segregazione fra processi implementata dal kernel di macOS.

Mentre normalmente il SIP e la sandbox bloccano i tentativi di accesso diretto alla memoria di processi protetti (inclusi processi di sistema, Keychain e agenti TCC), l’entitlement involontariamente attribuito a gcore dava il via libera a tali operazioni, compromettendo:

  • integrità dei dati custoditi,
  • la privacy individuale,
  • la riservatezza di informazioni professionali (password aziendali, token di accesso, chiavi API, documenti riservati),
  • la sicurezza di device MDM (gestione di flotte Mac in ambeti aziendali).

La falla era innescabile senza privilegi amministrativi e in diversi scenari anche da remoto, qualora una vittima fosse indotta ad avviare accidentalmente un’app malevola.

Raffronto con vulnerabilità passate

Sebbene in passato siano emerse falle di tipo privilege escalation su macOS, la peculiarità di CVE-2025-24204 è la bypassabilità completa delle barriere Apple, addirittura con SIP attivo.
Questa vulnerabilità mostra quanto sia pericoloso adottare permessi interni erronei anche per strumenti apparentemente innocui o secondari.

Impatto potenziale e stima degli attacchi

Non sono emerse prove pubbliche di sfruttamento massivo in the wild della falla, ma l’impatto potenziale è stato enorme, dato che la vulnerabilità era presente in tutte le installazioni di macOS Sequoia per diverse settimane. Strumenti come ProcDump-for-Mac hanno reso estremamente semplice per ricercatori e potenziali attaccanti riprodurre l’exploit in modo automatizzato.

Come proteggersi e mitigazione

Consigli e azioni più approfondite per la sicurezza:

  • Aggiornamento tempestivo a macOS Sequoia 15.4 o superiore: è l’unico modo per eliminare la vulnerabilità in modo definitivo.
  • Disinstallare strumenti di diagnostica non necessari, in particolare quelli che fanno uso di gcore.
  • Controllare il registro delle attività per individuare anomalie legate a processi di dump o accesso a porte di sistema.
  • Abilitare e mantenere sempre attivo il SIP. Attivare anche strumenti di sicurezza aggiuntivi come XProtect e Gatekeeper.
  • Effettuare audit regolari delle app installate: revocare permessi non necessari e aggiornare tutte le app critiche.
  • Informare utenti, dipendenti e reparti IT (in ambito aziendale) di verificare che tutti i Mac siano aggiornati alla versione sicura e di sorvegliare comportamenti anomali dei dispositivi.
  • Se sospetti compromissioni, modifica subito tutte le password custodite nel Keychain e valuta un audit approfondito delle credenziali esposte.

Fonte: https://www.helpnetsecurity.com/2025/09/04/macos-gcore-vulnerability-cve-2025-24204

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto