Apple macOS における SIP バイパスの脆弱性：Ventura／Monterey／Big Sur に影響

Microsoft Details Critical Apple macOS Vulnerability Allowing SIP Protection Bypass

2023/05/31 TheHackerNews — Apple macOS における、すでに修正済の脆弱性の詳細を、Microsoft が発表した。この脆弱性が、root アクセス権を持つ脅威アクターにより悪用されると、影響を受けるデバイス上でセキュリティを回避され、任意のアクションを実行される可能性があるという。

この脆弱性 Migrene CVE-2023-32369 の悪用により、System Integrity Protection (SIP) もしくは “rootless” と呼ばれる、主要なセキュリティ対策が回避される可能性がある。通常では、この機能により、保護されたファイルおよびフォルダーに対して、root ユーザーが実行できるアクションが制限されている。

Microsoft の研究者である Jonathan Bar Or と Michael Pearse と Anurag Bohra は、「SIP バイパスの最も単純な意味は、SIP により保護され、通常の手段では削除できないファイルを、攻撃者が作成できる点にある」と述べている。

さらに悪いことに、この脆弱性を悪用することで、任意のカーネル・コードの実行や、TCC (Transparency, Consent, and Control) ポリシーを管理するデータベースを置き換え、機密データにアクセスすることも可能になる。

このバイパスは、Migration Assistant と呼ばれる macOS のビルトイン・ツールを悪用し、最終的に任意のペイロードを起動するように設計された、AppleScript を介して移行プロセスを起動することで可能になる。

つまり、デバイスの移行を処理するために使用されるデーモン systemmigrationd に、com.apple.rootless.install.heritable 資格が付属しており、bash／perl などの全ての子プロセスによる、SIP チェック・バイパスが生じることに起因している。

その結果として、すでに root としてコード実行能力を持つ脅威者に対して、systemmigrationd を起動させた後の perl の実行および、移行プロセスの進行中における悪意のシェルスクリプト実行をなど許すことになる。

Microsoft からの情報の開示を受けた Apple は、2023年5月18日に出荷したアップデート (macOS Ventura 13.4／Monterey 12.6.6／Big Sur 11.7.7) の一部として、この脆弱性に対処している。Apple は、この脆弱性 CVE-2023-32369 について、ファイル・システムの保護された部分を、悪意のアプリが変更できてしまうロジックの問題と説明している。

そして、脆弱性 Migraine は、Shrootless (CVE-2021-30892：CVSS 5.5) および、powerdir (CVE-2021-30970：CVSS 5.5)／Achilles (CVE-2022-42821：CVSS 5.5) などが並んでいる、macOS セキュリティ・バイパスのリストに追加された。

研究者たちは、「任意の SIP バイパスが生じると、マルウェア作者による悪用の可能性が大きくなるため深刻だ。SIP のバイパスが生じると、攻撃者やマルウェア作者が root キットのインストールに成功する可能性が高まる。その結果として、永続性のあるマルウェアの作成や、攻撃面積の拡大などの、深刻な事態につながる可能性がある」と指摘している。

今回の調査結果は、Jamf Threat Labs が、デバイスにインストールされた不正アプリが武器にして、カーネル特権で任意のコードを実行するという、macOS カーネルのタイプ・コンヒュージョンの脆弱性を公開したことに由来している。

この ColdInvite (CVE-2023-27930) と名付けられた脆弱性は、コプロセッサの悪用によりカーネルへの Read/Write 権限が奪われるため、脅威アクターによるデバイスの完全な侵害という、最終的な目標に近づくことができるとされる。

macOS に SIP (System Integrity Protection) バイパスの脆弱性が発生したとのことです。この脆弱性 CVE-2023-32369 について、お隣のキュレーション・チームに聞いてみたら、5月25日付けでレポートをアップし、CVSS 値は 7.8 とのことでした。
a
2023/04/08：Apple の深刻なゼロデイ脆弱性が FIX：macOS で悪用
2023/03/27：MacStealer マルウェア：iCloud Keychain から PW窃取
2022/12/19：macOS の脆弱性 Achilles が FIX：Gatekeeper バイパス
2021/10/29：SIP 回避脆弱性を Microsoft が発見し Shrootless と命名

Share this: