New Privilege Escalation Bug Class Found on macOS and iOS
2023/02/21 InfoSecurity — Trellix のサイバー・セキュリティ研究者たちが、macOS/iOS に存在する6つの脆弱性と、新しいバグクラスに関する調査結果を発表した。今日の未明に公開された同社のアドバイザリでは、新しいクラスの権限昇格の脆弱性は、NSO Group のモバイル・マルウェア Pegasus を展開するために macOS/iOS の機能を悪用した、ForcedEntry 攻撃に基づくものだと述べられている。
技術的に指摘されているのは、ForcedEntry の発見後に Apple が実施した緩和措置は、いくつかの関連攻撃を防ぐには不十分であったという点だ。この新しいバグクラスには、前述の攻撃で悪用された脆弱性と同様の、多数のゼロデイ脆弱性が含まれており、CVSS スコアは 5.1 から 7.1 の間となっている。
Trellix の Senior Vulnerability Researcher である Austin Emmitt は、「これらの脆弱性は、macOS/iOS のセキュリティ・モデルへの重大な侵害を意味する。それぞれのアプリケーションが必要とする、リソースのサブセットに頻繁にアクセスし、より高い権限のサービスにクエリをかけることで、それ以外の情報を得ることが可能になる」と述べている。
新たに発見された脆弱性は、SMS や iMessageへのアクセス/位置情報/写真/ビデオなどに影響を及ぼすものだ。これらの脆弱性の悪用に成功した驚異アクターは、特定のメッセージ/通話履歴/ボイスメールの削除や、デバイスの内部ストレージの消去などを可能にする。一連のバグは Apple に報告され、macOS 13.2/iOS 16.3 で修正されている。
Synopsys Cybersecurity Research Center の Head of Global Research である Jonathan Knudsen は、「Trellix が公開した macOS/iOS に影響を及ぼす特権昇格の脆弱性は、セキュリティ研究者たちと Apple との実りある相互関係を示している」と説明している。
彼は、「ソフトウェアの構築においては、あらゆる段階でセキュリティを考慮し、可能な限り多くの脆弱性を発見して排除することを目標にする必要がある。しかし、全てを正しく行ったとしても、リリースされたソフトウェアには、何らかの脆弱性が存在する可能性がある」と、Infosecurity へのメールで語っている。
Knudsen は、リリース後のソフトウェアにおいて、セキュリティ研究者たちが新たな脆弱性を発見する可能性があることを強調している。
彼は、「セキュリティに関する情報開示に迅速に対応することは、きわめて重要なことである。Apple を含む一部の組織では、バグ・バウンティと呼ばれるインセンティブを提供することで、セキュリティ研究者たちに問題の提出を促している。セキュリティ研究者たちを認識し、参加させることは、包括的なソフトウェア・セキュリティ対策の重要な要素だ」と述べている。
先日には、Sophos の研究者たちが App Store で、新たな cryptorom 詐欺アプリケを発見したと主張している。それから数週間後に、Trellix のアドバイザリが公開された。
文中に記されている、ForcedEntry エクスプロイト と Pegasus マルウェアですが、2022/01/07 の「米国諜報機関からのアドバイス:スパイウェア攻撃を防ぐための TIPS」で、その経緯が紹介されていますので、よろしければ、ご参照ください。なお、今日の記事には、一連の脆弱性に関する CVE が記載されていませんが、TheHackerNews を見ると、CVE-2023-23520/CVE-2023-23530/CVE-2023-23531 だと指摘されています。
IoT OT Security News 
You must be logged in to post a comment.