AppleはmacOS Big SurおよびMonterey OSに存在するSIPセキュリティ機能を迂回してカーネルルートキットをインストールできる脆弱性にパッチを適用しました。
マイクロソフトは、攻撃者がmacOSのSystem Integrity Protection(SIP)をバイパスして、デバイス上で任意の操作を行うことができる脆弱性を発見しました。また、同様の手法で、攻撃者が特権を昇格させ、影響を受けるデバイスを root 化できる可能性があることも発見しました。
私たちは、これらの発見を、Microsoft Security Vulnerability Research(MSVR)を介したCoordinated Vulnerability Disclosure(CVD)によってAppleと共有しました。
現在、CVE-2021-30892として確認されているこの脆弱性の修正プログラムは、Appleが2021年10月26日にリリースしたセキュリティアップデートに含まれています。
この脆弱性は、マイクロソフト社のセキュリティ研究者であるJonathan Bar Or氏が公開したブログ記事に記述されており、CVE-2021-30892として追跡されていますが、Shrootlessというコードネームでも呼ばれていました。
Bar Or氏によると、この脆弱性はmacOSソフトウェアのインストールデーモンであるsystem_installdに存在するとのことです。
脆弱性の原因は、ポストインストールスクリプトを含むApple署名付きパッケージのインストール方法にあることがわかりました
Bar Or氏がアプリケーションのインストール作業中に、ポスト・インストール・スクリプトが、メインのインストール・デーモンの子プロセス内で実行されていたことを発見したとしており、この子プロセスがインストールが完了するまでの間、システムインテグリティプロテクション(SIP)のセキュリティ機能を無効にする特別な「権限」を受け取っていることを発見しました。
パッケージにインストール後のスクリプトが含まれている場合、system_installdはデフォルトのシェル(macOSではzsh)を起動してスクリプトを実行します
デフォルトではmacOSのインストールデーモンは、/etc/zshenvでこのシェルを探します。そのため悪意のある/etc/zshenvファイルを作成し、system_installdがzshを起動するのを待つことができる攻撃者は、SIPをバイパスすることができるとのことです
SIPはmacOSアプリケーションが保護されたフォルダや機密ファイルを変更できないようにする技術であり、たとえルートユーザー自身が変更したとしてもShrootless攻撃はこの強力な保護機能を無効にし、攻撃者に再びルートアクセスを与えることになります。
Microsoft社は2021年初めにShrootless攻撃をApple社のセキュリティチームに報告しており、このバグを悪用して悪意のあるカーネル拡張機能(ルートキット)をインストールする方法を示す実証実験も行っていたとのことです。
アップルはこのバグを修正し、macOS Big Sur 11.6.1とmacOS Monterey 12.0.1に修正版をリリースしています。
Comments