Microsoft: Achilles macOS bug lets hackers bypass Gatekeeper
2022/12/19 BleepingComputer — Apple は、信頼されていないアプリケーションを悪用する攻撃者に対して、 Gatekeeper による実行制限をバイパスを許すことで、脆弱な macOS デバイス上にマルウェアの展開される可能性に対処した。 この、Achilles と名付けられたセキュリティ脆弱性 CVE-2022-42821 は、Microsoft の Principal Security Researcher である Jonathan Bar Or が発見/報告したものである。1週間前の 12月13日に Apple は、macOS 13 (Ventura)/macOS 12.6.2 (Monterey)/ macOS 1.7.2 (Big Sur) で、この脆弱性に対応している。
ACL の制限による Gatekeeper のバイパス
Gatekeeper は macOS のセキュリティ機能であり、インターネットからダウンロードした全てのアプリが公証され、開発者の署名 (Appleの承認) を得ていることを、自動的にチェックするものである。その結果として、起動前にユーザーの確認を求めることがあり、また、アプリが信頼できない旨の警告を発することもある。
Windows の Mark of the Web と同様に、Web ブラウザがダウンロードした全てのファイルに割り当てる、拡張属性 com.apple.quarantine をチェックすることで、この機能は実現される。
しかし、脆弱性 Achilles を悪用するよう、特別に細工されたペイロードがロジックを変更することで、Web ブラウザ/インターネットのダウンローダが、ZIP ファイルとしてアーカイブするペイロードに対して、com.apple.quarantine 属性を設定しないように制限する、Access Control List (ACL) 許可の設定が可能になる。
その結果として、ペイロードとしてアーカイブされた悪意のアプリは、Gatekeeper によるブロックを回避してターゲット・システム上で起動され、攻撃者は第2段階の悪意のペイロードをダウンロード/ディプロイできるようになる。
月曜日に Microsoft の Security Threat Intelligence Team は、「高度なサイバー攻撃に狙われる可能性のある、ハイリスクのユーザーに対するオプションの保護機能として、Lockdown Mode が macOS Ventura に導入された。しかし Lockdown Mode の目的は、ゼロクリックによるリモート・コード実行の阻止にあり、Achilles を防御するものではない。したがって、ユーザーは Lockdown Mode の状態にかかわらず、修正プログラムを適用する必要がある」と述べている。
その他の macOS セキュリティ・バイパスとマルウェア
この数年で、Achilles のような問題は、 Gatekeeper で何度か繰り返されている。その結果として、フルパッチを適用した Mac であっても、Gatekeeper/File Quarantine/System Integrity Protection (SIP) といった、macOS セキュリティ機構のバイパスが野放しで悪用されている。
たとえば、2021年にも Bar Or は、セキュリティ脆弱性 Shrootless を報告している。この脆弱性の悪用に成功した脅威アクターは、System Integrity Protection (SIP) を回避して、侵害した Mac 上で任意の操作を行い、権限を root に昇格し、脆弱なデバイスへの rootkit のインストールさえ可能にする。
さらに Bar Or は、TCC (Transparency, Consent, and Control) を回避した攻撃者が、保護されたユーザー・データにアクセスする、脆弱性 powerdir を発見している。また、サンドボックスの制限を回避した攻撃者が、システム上でコード実行を可能にする脆弱性 CVE-2022-26706 の、エクスプロイト・コードの公開なども行っている。
その一方で 2021年4月に Apple は、File Quarantine/Gatekeeper/Notarization を回避した脅威アクターが、感染させた Mac へのマルウェアのダウンロードを可能にしていた、macOS のゼロデイ脆弱性 Shlayer を修正している。
Shlayer の開発者は、Apple の自動公証プロセスを介してペイロードを取得することにも成功しており、何年も前のテクニックを使って特権を昇格させ、macOS の Gatekeeper を無効にして、署名されていないペイロードを実行していた。
macOS でも脆弱性が頻繁に発見されています。 2022年における最近の記事としては、以下のものがあります。Mac ユーザーさんは、要確認ですね。
7月14日:Apple iOS/macOS のサンドボックス・エスケープの脆弱性
8月17日:iOS/macOS のゼロデイ:CVE-2022-32893/CVE-2022-32894
9月12日:macOS/iOS アップデート:ゼロデイ CVE-2022-32917 が FIX
11月10日:macOS/iOS の脆弱性:CVE-2022-40303/CVE-2022-40304
11月21日:macOS サンドボックス・エスケープの脆弱性:PoC コードが公開
IoT OT Security News 
You must be logged in to post a comment.