2025/01/13 SecurityOnline — Apple macOS の堅牢な System Integrity Protection (SIP) が、脆弱性 CVE-2024-44243 によりバイパス可能になることが、Microsoft Defender Research Team により明らかにされた。macOS セキュリティの要である SIP は、オペレーティング・システムの整合性を危険にさらす可能性のある、有害な操作を制限するものである。しかし、新たに発見されたバイパスは、サードパーティのカーネル・エクステンションを介して達成されるものであり、ルートキットやマルウェアのインストールおよび、TCC (Transparency, Consent, and Control) 制御の回避などを可能にするという。
Microsoft は、「SIP バイパスを達成した攻撃者やマルウェア作成者が手にするのは、ルートキットのインストールや、永続的なマルウェアの作成、TCC (Transparency, Consent, and Control) のバイパスなどであり、エクスプロイトや攻撃対象領域の拡大といった、深刻な結果を引き起こすだろう。この脆弱性が浮き彫りにするのは、macOS プロセスに特別な権限が付与されている場合において、悪意のエクスプロイトが促進される可能性である」と詳述している。
このバイパスは、”com.apple.rootless.install.heritable” などの、特別な権限を持つ macOS プロセスを悪用し、その権限を子プロセスに継承させる。この機能は、システム更新やセキュリティ拡張などの操作に不可欠なものであり、監視が適切に行われないと甚大な被害をもたらす可能性が生じる。つまり、攻撃者は、ディスクの状態管理を処理する “storagekitd” デーモンなどのプロセスを悪用して、未検証のカーネル・エクステンションを呼び出すことが可能になる。
Microsoft の研究者たちは、「新しいファイル・システム・バンドルを、/Library/Filesystems にドロップする攻撃者は、その後に “storagekitd” をトリガーしてカスタム・バイナリを生成し、SIP をバイパスできる。このバイパスにより、macOS のセキュリティ・モデル全体が弱体化し、有害なカーネル・コードの実行が可能になる」と述べている。
Microsoft は、「SIP バイパスの影響は、重大なものになる。SIP がバイパスされると、OS 全体が信頼できないものをみなされ、監視における可視性が低下するため、脅威アクターたちにチャンスが生まれる。つまり、デバイス上のセキュリティ・ソリューションを改ざんすることで、それらによる検出の回避が可能になる」と付け加えている。
Microsoft Defender Research Team と、セキュリティ研究者であるMickey Jin が、この脆弱性を別々に特定した。そして Mickey Jin が、Coordinated Vulnerability Disclosure (CVD) プログラムを通じて Apple に報告した。Apple は、2024年12月11日のセキュリティ更新プログラムで、脆弱性 CVE-2024-44243 に対してパッチを適用し、この問題に対処した。
技術的な詳細については、Microsoft の公式ブログと CVE-2024-44243 アドバイザリを参照してほしい。
このところ、macOS の脆弱性が多いですね。つい前日の 2025/01/12 には、「macOS のサンドボックス回避の脆弱性 CVE-2024-54498:PoC が提供」という記事をポストしています。よろしければ、macOS で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.