Apple macOS の SIP 回避脆弱性を Microsoft が発見し Shrootless と命名

Shrootless: macOS Vulnerability Found by Microsoft Allows Rootkit Installation

2021/10/29 SecurityWeek — 木曜日に Microsoft は、Apple macOSに存在する脆弱性の情報を公開した。この脆弱性により、攻撃者は System Integrity Protection (SIP) を回避し、OS のファイルを変更することが可能になる。この脆弱性は、CVE-2021-30892 として追跡され、Microsoft により Shrootless と名付けられた。

この脆弱性を利用するには、攻撃者が特別に細工したファイルを作成し、パッケージのインストール・プロセスを乗っ取る必要がある。Apple は、macOS Yosemite において SIP を導入し、root ユーザーによるシステムの完全性の侵害につながる行為を制限していたが、新たに発見されたセキュリティ・エラーにより、悪意のカーネル・ドライバ (rootkit) のインストールや、持続的なマルウェアの展開、システム・ファイルの上書きなどが可能になる。

rootless とも呼ばれる SIP は、このプラットフォームを保護するために起動時からシステムをロックし、マシンがリカバリー・モードの時にのみ変更が可能となっている。
Apple も SIP の制限を強化するために改良を加えたが、システム・アップデートなどの Apple 特定のプロセスのために、SIP で保護されたディレクトリに無制限にアクセスできる、いくつかの資格を含んでいた。

Microsoft が発見したのは、デーモン system_installd の資格によって、子プロセスが SIP ファイル・システムの制限を回避できることである。

これは、Apple が署名したパッケージ (.pkg ファイル) の場合と同じである。インストール後のスクリプトがパッケージに含まれていると、system_installd はデフォルトのシェルである zsh を起動してスクリプトを実行する。

Microsoft は、「zsh は起動時に /etc/zshenv というファイルを探し、見つかれば非対話モードであっても自動的に、そのファイルからコマンドを実行してしまう。したがって、攻撃者がデバイス上で任意の操作を行うためには、悪意のある/etc/zshenvファイルを作成し、system_installd が zsh を起動するのを待つことが、完全に信頼できる経路となる」と説明している。

また、ユーザーごとに /etc/zshenv に相当するファイルが存在することから、一般的な攻撃手法として zshenv が悪用される可能性があると説明している。つまり、同じ機能と動作を持つが、書き込みに root 権限を必要としないものになる。

Apple は、10月26日に配信を開始した macOS Big Sur Ver 11.6.1 で、この脆弱性に対処したが、このバージョンには、他にも 23件の脆弱性に対するパッチが含まれている。また今週には、Apple は 22件のセキュリティ上の欠陥に対処する、iOS 15.1 および iPadOS 15.1 をリリースしている。

この記事、10月28日の「Microsoft が発見した macOS のバグ:System Integrity Protection がバイパスされる」と同じ話だと、訳し終わっていから気づきました 🙂 それにしても、最近の Microsoft はセキュリティ対策に力を入れていますね。クラウドへの移行が進み、巨大なベンダーによる棲み分けが見えてきましたが、次のゲームチェンジが起こるとしたら、それはセキュリティだと考えているのでしょう。もし、そうなら、その戦略はアリだと思います。

%d bloggers like this: