macOS Security Breach: CVE-2024-54531 PoC Published, Attackers Can Bypass KASLR
2025/02/12 SecurityOnline — Apple Silicon プロセッサ上で動作する macOS で、Kernel Address Space Layout Randomization (KASLR) を回避する攻撃の手法を、高麗大学のセキュリティ研究者たちが明らかにした。この攻撃は “SysBumps” と呼ばれるものであり、macOS システム・ コールの投機的実行の脆弱性を悪用するものである。具体的に言うと、権限を必要としない攻撃者が、カーネル・アドレスを推測できるものであり、macOS の最も基本的なセキュリティ防御の1つを突破するものだ。
この脆弱性 CVE-2024-54531 を悪用するアプリは KASLR を回避し、カーネルのメモリ・レイアウトを明らかにできるという。この欠陥は、システム・コール中の投機的実行を悪用するものであり、Apple のカーネル分離実装において、これまで見過ごされてきた弱点を突くものである。
KASLR とは、メモリ・アドレスをランダム化し、重要なシステム構造を簡単に見つけられないようにする、重要なカーネル強化メカニズムである。ユーザー空間とカーネル空間のアドレス・レイアウトを分離する、Apple のカーネル分離の方針により、Apple Silicon の macOS の KASLR が強化されてきた。しかし、SysBumps は、システム・コール中の投機的実行における深刻な欠陥を悪用するものであり、Apple の M-series プロセッサ全体において、96.28% の精度で KASLR を突破するという。
研究者たちは、「システム・コールで Spectre タイプのガジェットを使用することで、権限のない攻撃者であっても、選択したカーネル・アドレスの変換を引き起こし、アドレスの有効性に応じて TLB (translation lookaside buffer) を変更できる」と説明している。
SysBumps 攻撃には、複数の段階のプロセスが含まれる:
- 投機的実行のトリガー:投機的実行を悪用する攻撃者が、カーネル・アドレスの検証チェックを回避する、悪意のシステム・コールを作成する。
- TLB プロービング:TLB アーキテクチャをリバース・エンジニアリングする攻撃者は、 TLB 状態をプローブしてカーネル・アドレスの有効性を判断できる。
- カーネル・レイアウトの暴露:TLB プロービングを繰り返すことで、攻撃者はカーネル コンポーネントのベース・アドレスを推測し、KASLR を効果的に突破できる。
SysBumps 攻撃は、複数の Apple Silicon デバイスおよび macOS バージョンにおいて、テストに成功している。
影響を受ける Apple Silicon デバイス:
M1/M1 Pro/M2/M2 Pro/M2 Max/M3/M3 Pro
影響を受ける macOS バージョン:
バージョン 13.1〜15.1 (以前のバージョンは未テスト)
研究者たちは、GitHub で PoC エクスプロイトを公開し、脆弱性 CVE-2024-54531 を悪用する攻撃について、懸念を提起している。すでに Apple は、メモリ処理を改善した macOS Sequoia 15.2 で、この脆弱性に対処している。ユーザーに対して推奨されるのは、速やかにシステムを更新し、悪用のリスクを軽減することだ。
すでに PoC エクスプロイトが利用可能になっているため、機密性の高い環境で macOS を使用している組織はパッチ適用を優先し、潜在的な悪用を防ぐ必要がある。この脆弱性を悪用するサイバー犯罪者や APT グループが、高ステルス性の標的を絞った攻撃を仕掛ける可能性がある。
macOS の脆弱性 CVE-2024-54531 が FIX しました。この脆弱性は、セキュリティ防御の1つである KASLR を突破するものだそうです。Mac は比較的安全と言われていますが、攻撃手法は日々進化しているのだと、実感します。ご利用の方は、アップデートを忘れないよう、お気をつけください。よろしければ、macOS で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.