macOS の脆弱性 HM Surf CVE-2024-44133 が FIX：PoC エクスプロイトも公開

HM Surf (CVE-2024-44133): macOS Flaw Exposing Cameras and Microphones to Hackers, PoC Published

2024/10/17 SecurityOnline — Apple  の TCC (Transparency, Consent, and Control) テクノロジーをバイパスする、macOS の脆弱性 CVE-2024-44133 が、Microsoft Threat Intelligence の調査により発見された。Microsoft のチームにより HM Surf と命名された、この脆弱性の悪用に成功した攻撃者は、ユーザーの同意を必要とすることなく、カメラ／マイク／閲覧履歴／位置情報などの、機密性の高いユーザー・データに不正アクセスする可能性を手にする。

Apple のセキュリティ・フレームワークである TCC の設計は、ユーザーが明示的に許可しない限り、macOS ユーザーの個人情報に関連するカメラやマイクの権限などへの、不正アプリからのアクセスを阻止するようになっている。しかし、脆弱性 CVE-2024-44133 により、Safari が管理する複数のディレクトリにおいて、TCC 保護が解除される可能性があることが判明した。つまり、Safari のディレクトリ内のコンフィグ・ファイルを操作する攻撃者は、ユーザーのカメラやマイクにアクセスし、位置情報を追跡することも可能になるという。

この脆弱性により、Safari ディレクトリ内のコンフィグ・ファイルが変更され、主要サービスにおけるユーザーのデフォルト権限が改ざんされてしまう。それにより攻撃者は、通常において TCC が要求する、通知や同意のポップアップを表示させることなく、デバイスのハードウェア／ソフトウェアとの秘密裏でのインタラクションを可能にする。

Microsoft の分析によると、このバイパスは、”~/Library/Safari” ディレクトリ内の機密ファイルに依存するかたちで行われる。PerSitePreferences.db などの主要ファイルを変更することで、セキュリティ制御を無効化する攻撃者は、機密サービスに対する Safari の広範な権限を悪用できるようになる。Microsoft Threat Intelligence のレポートには、「ディレクトリから任意のファイルを読み取ることで、極めて有用な情報を攻撃者は収集できる」と記されている。また、攻撃者が履歴ファイルや機密性の高いデータにアクセスする方法についても詳述されている。

この分析では、Microsoft Defender for Endpoint の動作監視機能が、脆弱性 CVE-2024-44133 に関連する活動を検出したと説明されている。具体的に言うと、ブラウザ・コンフィグ・ファイルの変更が観測されており、積極的に発動している macOS マルウェア Adload に関連する兆候があるという。この脆弱性を、Adload が直接的に悪用しているという証拠はないが、いくつかの異常な動作が検出されたことで、HM Surf を悪用する攻撃が、さらに拡大する可能性があることが示唆される。

Microsoft Defender for Endpoint は、CVE-2024-44133 の悪用を検知および防止するためにアップデートされている。このエンドポイント保護機能は、Safari のコンフィグ・ファイルへの変更や、TCC 保護されたサービスへの不正アクセスに対してフラグ付けし、これらの攻撃をブロックするという。

この脆弱性の発見者である、Microsoft のセキュリティ研究者 Jonathan Bar (@yo_yo_yo_jbo) は、PoC エクスプロイトも公開している。

2024年9月16日の時点で Apple は、macOS Sequoia アップデートの一部として、この脆弱性に対するパッチをリリースしている。いまの Microsoft は、Google や Mozilla などのブラウザ・ベンダーと協力し、ローカル・コンフィグ・ファイルの強化と、類似の保護措置の適用によるメリットを調査しているという。

ユーザーに対して強く推奨されるのは、Apple が提供する最新のセキュリティ・アップデートを適用し、この脆弱性に対する保護を確実に行うことだ。

それぞれのアプリケーションによるシステム・アクセスの権限ですが、macOC では詳細に設定できるようになっていて、ユーザーが明示的に許可しない限り、それらが付与されることはありません。また、アプリのインストール時に、ポップアップが表示され、ユーザーに対する確認が行われます。そのための、TCC (Transparency, Consent, and Control) テクノロジーにバイパスが発生したようです。問題となるのは、macOS Sequoia であり、すでにパッチが提供されているとのことですので、ご利用の方は、ご注意ください。よろしければ、macOS で検索も、ご参照ください。