Microsoft Apps for macOS の8件の脆弱性:ライブラリ・インジェクション攻撃を許す恐れ

Microsoft Apps for macOS Exposed to Library Injection Attacks

2024/08/19 InfoSecurity — macOS 向けの8つの Microsoft アプリケーションに、ライブラリ・インジェクション攻撃を許す脆弱性が存在することが、Cisco Talos の新たな調査により判明した。これらの脆弱性の悪用に成功した攻撃者は、アプリケーションのパーミッションを盗み出し、機密データを侵害する可能性を得るという。

それらの脆弱性は Microsoft Teams/Outlook/PowerPoint/Word などの Microsoft アプリケーションに影響するものであり、8つの CVE が割り当てられている。

  • Microsoft Outlook:CVE-2024-42220
  • Microsoft Teams (work or school):CVE-2024-42004
  • Microsoft PowerPoint:CVE-2024-39804
  • Microsoft OneNote:CVE-2024-41159
  • Microsoft Excel:CVE-2024-43106
  • Microsoft Word:CVE-2024-41165
  • Microsoft Teams (work or school) :CVE-2024-41145
  • Microsoft Teams (work or school) :CVE-2024-41138

この攻撃シナリオでは、ユーザーに追加の確認を求める必要もなく、既存のアプリの権限を悪用することで、脅威アクターは macOS のパーミッション・モデルを迂回できるようになる。その結果として脅威アクターは、ユーザーの認識を必要とすることなく、対象となるユーザー・アカウントからの電子メール送信や、オーディオ・クリップの録音/写真撮影/ビデオ録画などが可能になる。

macOS のパーミッション・モデルが狙われる

Cisco Talos が注目したのは、ユーザーのプライバシーを保護し、システムのセキュリティを維持するために設計された機能で構成される、macOS における同意ベースのパーミッション・モデルである。

macOS はアプリケーションを信頼し、そのパーミッションを “自己管理” させる。そたがって、その管理が徹底されないと、対象となるアプリケーションに与えられた高いパーミッションを、攻撃者が乗っ取るという可能性が生じてしまう。

そして、研究者たちが発見したのは、8つの Microsoft macOS アプリが “com.apple.security.cs.disable-library-validation” 資格を有効化していることである。

Apple によると、この権限により、サードパーティの開発者が署名したプラグインの、ロードが許可されてしまうという。したがって、この資格を悪用する攻撃者は、任意のライブラリ注入を達成し、侵害したアプリケーション内での任意のコード実行を可能にするため、アプリケーションの資格と権限のフルセットが悪用される恐れが生じる。

この資格が存在すると、アプリケーションで使用されている、ハードニングされたランタイム・セキュリティ機能が無効化されてしまう。つまり、macOS 上に提供される、すべての Microsoft Office アプリは、署名されていないダイナミック・ライブラリのロードを許可していることになる。

一度実行されたアプリケーションを変更するには、特定のエンタイトルメントが必要となる。しかし、/tmp などの別のフォルダにアプリケーションをコピーして変更することで、この要件を回避することができる。

研究者たちは、「相対的なインポートがいくつかあり、ライブラリ検証を無効にする権限が存在することを考えると、Microsoft Office アプリは全てライブラリ・インジェクション攻撃に対して脆弱である」と指摘している。

”不必要な” リスクにさらされる Microsoft ユーザー

この調査結果において、Cisco Talos の研究者たちが疑問を呈しているのは、追加ライブラリがロードされないと予想される場合の、ライブラリ検証の無効化に関する必要性についてである。

彼らは、「この権限を使用することで、ハードニングされたランタイムが提供するセーフガードが回避され、不必要なリスクにユーザーが直面する可能性が生じる」と指摘している。

この報告を受けた Microsoft は、発見された問題はリスクが低いと述べたが、4つのアプリをアップデートし、com.apple.security.cs.disable-library-validation 資格が所有されないように修正した。

アップデートされたのは、Microsoft Teams の Main App/WebView/ModuleHost および Microsoft OneNote であり、Microsoft Excel/Outlook/PowerPoint/Word に関しては、2024年8月19日の時点でも脆弱性が残っている状態にある。

さらに研究者たちが提案するのは、macOS にユーザー・プロンプトを導入し、このリスクを軽減することである。そうなれば、ユーザーはサードパーティ・プラグインごとに、ロードする/しないを決定できるようになり、より制御されたアクセス許可手段が提供されることになる。

Microsoft と Apple の間には、アプリの管理に関する、大きなギャップがあるようです。つまり、アプリの出どころについて、それぞれのベンダーに依存する Microsoft と、App Store で限定しようとする Apple の違いが、この問題の背景にあるように思えます。研究者たちが指摘するように、どちらにも、改善の余地がありますね。よろしければ、Microsoft Office で検索も、ご参照ください。