新macOSゼロデイ脆弱性、あらゆるmacOSに攻撃者がリモートでコマンドを実行可能に

セキュリティ研究者はAppleのmacOS Finderに新たな脆弱性を公開しました。

この脆弱性により、最新リリースであるBig SurまでのあらゆるmacOSバージョンを実行しているMac上で、攻撃者が任意のコマンドを実行することが可能になるとのことです。

この脆弱性は、独立系のセキュリティ研究者であるPark Minchanによって発見されたもので、macOSのinetlocファイルの処理方法に起因するものです。これにより、攻撃者が内部に埋め込んだコマンドを、警告やプロンプトなしに誤って実行してしまいます。

macOSでは、拡張子が.inetlocのインターネットロケーションファイルは、システム全体のブックマークであり、オンラインリソース(news://、ftp://、afp://)やローカルファイル(file://)を開くために使用することができます。

今回公開されたSSD Secure Disclosureの報告では「macOSのFinderに脆弱性があり、拡張子がinetlocのファイルが任意のコマンドを実行できる」ことが明らかになりました。

https://ssd-disclosure.com/ssd-advisory-macos-finder-rce/

これらのファイルはメール内に埋め込まれており、ユーザーがクリックすると、ユーザーにプロンプトや警告を出さずに、メール内に埋め込まれたコマンドを実行します。

Appleは、CVE識別番号を割り当てずにこの問題を黙って修正しましたが、後に発見されたように、Appleのパッチは、埋め込まれたコマンドの実行に使用されるプロトコルをfile://からFiLe://に変更することで、まだこの脆弱性を悪用できるため、脆弱性は部分的にしか対処されていないようです。

Big Sur以降の新しいバージョンのmacOSでは、(com.apple.generic-internet-location内の)file://という接頭辞がブロックされていますが、File://やfIle://がチェックをバイパスする原因となるケースマッチングが行われていました

攻撃者がこの脆弱性をどのように悪用するかについての情報は提供していませんが、ターゲットが開くとバンドルされたペイロードやリモートペイロードを起動することができる悪意のあるメールの添付ファイルを作成するために、攻撃者が使用する可能性があります。

研究者が公開した概念実証型の脆弱性をテストし、この脆弱性を利用してインターネットからダウンロードした特別に細工されたファイルを使って、プロンプトや警告なしにmacOS Big Sur上で任意のコマンドを実行できることを確認できたようです。

このPoCコードを含む.inetlocファイルは、VirusTotalに登録されているどのアンチマルウェアエンジンによっても検出されなかったため、この攻撃方法を用いて脅威アクターに狙われる可能性のあるmacOSユーザーは、セキュリティソフトウェアによって保護されないことになります。

Leave a Reply

Your email address will not be published.