2024/11/20 SecurityOnline — WorkflowKit の脆弱性 CVE-2024-27821 に関する、詳細な分析と PoC エクスプロイト・コードが、セキュリティ研究者の Snoolie K から公開された。この ”WorkflowKit Race Vulnerability” と命名された脆弱性は、WorkflowKit 内のショートカットの抽出/署名プロセスを標的とする悪意のアプリに対して、ショートカット・ファイルの傍受/改竄を、インポート中に許す可能性があるものだ。
Snoolie K は、「WorkflowKit のショートカット抽出プロセスにおいて、ユーザーがインポートするショートカット・ファイルを傍受するために、バックグラウンドで実行中の悪意のアプリが競合状態を悪用していることがが確認された。この欠陥は、署名付きショートカットの抽出を担当する、メソッド -[WFShortcutPackageFile preformShortcutDataExtractionWithCompletion:] に存在する」と述べている。
問題のメソッドは、署名付きの Apple Encrypted Archive を抽出し、署名なしの .wflowショートカット・ファイルに変換しようとするものだ。この脆弱性は、WorkflowKit が抽出を処理する際の、競合状態に対する不十分な保護に起因するものであり、攻撃者にファイルの置き換えを許す可能性が生じる。
Snoolie は、「サンドボックス化されていないプロセスであれば、一時的なショートカット・ディレクトリを、権限なしで変更することが可能だ。つまり、悪意のアプリが、一定の時間内にディレクトリ/ファイルを変更し、インポートすることが可能になるということだ」と指摘している。
さらに Snoolie K は、エクスプロイトの信頼性を高める巧妙な手口について、「実際には、AAExtractArchiveOutputStreamOpen と WFFileRepresentation の間にのみ、存在すれば良いとしたらどうだろうか」と指摘している。攻撃者は、このトリックにより、ショートカットの簡単な傍受と確実な置き換えを達成し、WorkflowKit の保護を効果的に回避して変更してファイルをインポートできる。
脆弱性 CVE-2024-27821 の影響は深刻である。この脆弱性が悪用されると、バックグラウンドで実行中の悪意のアプリが、ユーザーの同意なしにショートカットを変更できるようになる。つまり、攻撃者は、ユーザーが署名するショートカットや、開こうとするショートカットに任意のコードを注入し、データ漏洩やリモートコード実行の可能性を手にすることになる。
Snoolie K は、「つまり、悪意のアプリがバックグラウンドで実行されると、ショートカットを共有しようとするユーザーがサインインする度に、それが傍受され、別のショートカットへのサインインに悪用される可能性がある。たとえば、ユーザーが成り行きでサインインする、すべてのショートカットに対して、悪意のコードが注入される可能性がある」と説明している。
Snoolie K は、CVE-2024-27821 の PoC エクスプロイト・コードを GitHub に 公開している。
Snoolie は、「Apple は、サンドボックスの制限を追加することで、これを修正したようだ」と指摘している。すでに Apple は、macOS 14.5 で脆弱性 CVE-2024-27821 を修正した。つまり、サンドボックスの制限を追加することで、WorkflowKit が使用する一時ディレクトリへの未承認アクセスを遮断している。
ユーザーに対して強く推奨されるのは、このエクスプロイトから保護するために、macOS 14.5 以降へと速やかにアップデートすることだ。この修正により、抽出中にショートカット・ファイルを不正に変更するプロセスが、効果的に防止されるようになった。
macOS 14.5 未満に存在する、ショートカット・ファイルにまつわる脆弱性が FIX しました。ご利用のユーザーの方は、ご注意ください。この種のショートカット・ファイルは、Windows でも問題を起こしがちですね。よろしければ、macOS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.