Appleは最近、攻撃者がSystem Integrity Protection(SIP)をバイパスし、サードパーティ製のカーネル拡張機能をロードすることで悪意のあるカーネルドライバーをインストールできるmacOSの脆弱性に対処した。
System Integrity Protection(SIP)、または「rootless」は、保護された領域におけるrootユーザーアカウントの権限を制限することで、悪意のあるソフトウェアが特定のフォルダやファイルを変更することを防ぐmacOSのセキュリティ機能です。
SIPは、Appleが署名したプロセス、またはAppleソフトウェア・アップデートなどの特別な権限を持つプロセスのみが、macOSで保護されたコンポーネントを変更できるようにします。SIPを無効にするには通常、システムを再起動し、macOS Recovery(内蔵のリカバリシステム)から起動する必要がある。
このセキュリティ上の欠陥(CVE-2024-44243として追跡されている)は、root権限を持つローカル攻撃者が、ユーザーとの対話を必要とする複雑度の低い攻撃においてのみ悪用可能であり、ディスクの状態保持を処理するStorage Kitデーモンに発見された。
悪用に成功すると、攻撃者は物理的なアクセスなしにSIPのroot制限を回避し、rootkits(カーネルドライバ)をインストールしたり、永続的な「削除不可能な」マルウェアを作成したり、Transparency, Consent, and Control(TCC)のセキュリティチェックを回避して被害者のデータにアクセスしたりすることが可能になる。
アップルは、1カ月前にリリースしたmacOS Sequoia 15.2のセキュリティ・アップデートで、2024年12月11日にこの脆弱性にパッチを当てた。
「System Integrity Protection (SIP)は、マルウェアや攻撃者、その他のサイバーセキュリティの脅威に対する重要なセーフガードとして機能し、macOSシステムの基本的な保護レイヤーを確立している」と、Microsoftは本日、CVE-2024-44243に関する技術的な詳細を提供するレポートの中で述べている。
「SIPを回避することは、オペレーティング・システム全体のセキュリティに影響を及ぼし、深刻な結果につながる可能性があるため、特別な権限を持つプロセスからの異常な動作を検出できる包括的なセキュリティ・ソリューションの必要性が強調されています。
マイクロソフトのセキュリティ研究者は、近年複数のmacOSの脆弱性を発見している。2021年に報告された「Shrootless」(CVE-2021-30892 )と名付けられたSIPバイパスも、攻撃者が侵害されたMac上で任意の操作を実行し、ルートキットをインストールできる可能性がある。
さらに最近では、「Migraine」(CVE-2023-32369)と名付けられた別のSIPバイパスや、「Achilles」 (CVE-2022-42821 )として知られるセキュリティ上の欠陥も見つかっており、これらを悪用することで、Gatekeeperの実行制限を回避できる信頼されていないアプリを介してマルウェアを展開することができる。
また、マイクロソフトの主任セキュリティ研究者であるジョナサン・バー・オーは、攻撃者が透明性、同意、および制御(TCC)技術を迂回してmacOSユーザーの保護されたデータにアクセスすることを可能にする、macOSの別の脆弱性である「powerdir」(CVE-2021-30970)を発見した。
Comments