macOS カレンダーのゼロクリック RCE 脆弱性:連鎖により iCloud データが流出

Zero-Click RCE Bug in macOS Calendar Exposes iCloud Data

2024/09/18 DarkReading — macOS に存在する、複数のゼロクリック脆弱性を連鎖させることに成功した攻撃者は、 macOS のセキュリティ保護を弱体化させ、被害者の iCloud データへの侵害を可能にすることが判明した。この一連の攻撃は、カレンダーのイベントに添付されたファイルの、サニタイズ処理の欠如から始まる。そこから、攻撃者は標的のシステム上でリモート・コード実行 (RCE) を達成し、機密データにアクセスできることが、研究者の Mikko Kenttala により発見された。

彼の調査では、例証のために iCloud Photos が使用されている。この侵害プロセスの全ステップにおいて、ユーザーの介入は必要とされず、AppleのGatekeeperTransparency, Consent, and Control(TCC) による保護も、それを阻止できなかった。

macOS におけるゼロクリック脆弱性の悪用チェーン

この一連の脆弱性の中で、最も重要な脆弱性 CVE-2022-46723 は、2023年2月に公開され、CVSS 9.8  (深刻度 Critical) と評価されている。

この脆弱性は深刻度が高いだけでなく、その悪用も容易だ。攻撃者による悪用は、悪意のファイルを取り込んだカレンダーの招待状を被害者に送るだけで達成される。macOS がファイル名を適切に検証できないため、攻撃者は任意のファイル名を付けることが可能となり、さまざまな興味深い効果がもたらされる。

たとえば、特定の既存のシステム・ファイルの削除を目的として、そのファイルに名前を付けることも可能だ。まず、既存のファイルと同じ名前を付け、そのファイルを配信したカレンダー・イベントを削除する。それによりシステムは、理由の如何を問わず、悪意のファイルだけではなく、オリジナルのファイルも削除してしまう。

さらに危険なのは、攻撃者がパス・トラバーサルを実行し、添付ファイルが保存されるはずのカレンダーのサンドボックスから、システム上の他の場所に逃れるために、添付ファイルを命名する可能性があることだ。

Kenttala は、OS のアップグレード (発見当時は Ventura がリリースされようとしていた) を利用するかたちで、この任意のファイル書き込み権限を悪用してみた。まず、彼は、Siri が提案するカレンダーのリピート・イベントを模倣するファイルを作成し、さらなるファイルの実行をトリガーするアラートを隠した。

これらの後続ファイルの1つは、古いカレンダー・データを新しいシステムに移行する役割を担っていた。もう1つは、セキュリティ・フラグをトリガーすることなく、オープンソースの Server Message Block (SMB) プロトコルである、Samba からのネットワーク共有のマウントを可能にするものだった。そして、さらに2つのファイルが、悪意のアプリの起動をトリガーした。

Apple のネイティブ・セキュリティ・コントロールの無効化

この悪意のアプリは、macOS のセキュリティ機能である Gatekeeper をバイパスすることで、警告を発することなく侵入していった。Gatekeeper は、信頼されていないアプリに対して、Mac システムが提供する障壁である。2024年1月に公表された、この脆弱性は、CVE-2023-40344 (CVSS:5.5) として追跡されている。

この攻撃により脅かされたのは、macOS のセキュリティ機能 Gatekeeper だけではない。Kenttala は、悪意のアプリが起動したスクリプトを使用して、iCloud Photos に関連付けられたコンフィグ・ファイルを、悪意のものに置き換えることに成功した。それにより、iCloud Photos はカスタム・パスに再設定され、macOS がアプリによる機密データ/リソースへの不正アクセスを阻止するプロトコルである、TCC の保護外に置かれることになった。

この再設定の欠陥である、CVE-2023-40434 (CVSS:3.3) の悪用に成功した攻撃者は、写真の無差別な盗難の扉を開き、些細な変更を加えるだけで、国外のサーバへと流出させることが可能になる。

Critical Start の Senior Manager of Cyber Threat Research である Callie Guenther は、「MacOS の Gatekeeper と TCC は、信頼されたソフトウェアのみをインストールし、機密データへのアクセスを管理するために不可欠なものである。しかし、macOS カレンダーのゼロクリック脆弱性が、サンドボックス・プロセスを悪用する攻撃者が、それらの保護機能を回避できることが示されている。ただし、macOS だけが、このような攻撃に対して脆弱だというわけではない。同様の脆弱性は Windows にも存在し、特権昇格やカーネルの脆弱性を悪用する技術を悪用することで、Device Guard や SmartScreen を回避できる」と説明している。

さらに Callie Guenther は、「攻撃者は、DLL ハイジャックや、サンドボックス・エスケープの手法を用いて、Windows のセキュリティ制御を無効にしてきた。両方の OS は、強固なセキュリティ・フレームワークに依存しているが、執拗な攻撃者は、特に APT グループは、これらの防御を回避する方法を見出す」と述べている。

2022年10月〜2023年9月において Apple は、このエクスプロイト・チェーンにおける多数の脆弱性を、さまざまな時点で認識し修正している。

いくつかの脆弱性を絡めたエクスプロイト・チェーンが、ゼロクリックで成立するという話です。これらの脆弱性の中には、CVE-2023-40434 のような CVSS 値が低いものがありますが、それもチェーンの中で重要な役割を持つようです。なんというか、チェーンの中の一点を潰しても、別の脆弱性が代替として出てきそうな感じですね。よろしければ、macOS で検索も、ご参照ください。