Apple は最近、root 権限を持つ攻撃者が System Integrity Protection (SIP) をバイパスして「削除できない」マルウェアをインストールし、透明性、同意、および制御 (TCC) セキュリティ チェックを回避して被害者の個人データにアクセスできる脆弱性に対処しました。
Microsoft セキュリティ研究者のチームによって発見され、Apple に報告されたこの欠陥 ( Migreneと呼ばれる) は、現在CVE-2023-32369として追跡されています。
Apple は、2 週間前の 5 月 18 日にリリースされたmacOS Ventura 13.4 、 macOS Monterey 12.6.6 、およびmacOS Big Sur 11.7.7のセキュリティ アップデートの脆弱性にパッチを適用しました。
「ルートレス」とも呼ばれるシステム整合性保護 (SIP) は、オペレーティング システムの保護領域内で root ユーザー アカウントとその機能に制限を課すことにより、潜在的に悪意のあるソフトウェアが特定のフォルダーやファイルを変更するのを防ぐ macOS セキュリティ メカニズムです。
SIP は、Apple によって署名されたプロセス、または Apple ソフトウェア アップデートやインストーラーなどの特別な権限を持つプロセスのみに、macOS で保護されたコンポーネントの変更を許可するという原則に基づいて動作します。
システムを再起動して macOS Recovery (組み込みの回復システム) を起動しない限り、SIP を無効にする方法はないことに注意することも重要です。これには、すでに侵害されているデバイスに物理的にアクセスする必要があります。
しかし、Microsoft の研究者は、root 権限を持つ攻撃者が、com.apple.rootless.install に由来する SIP バイパス機能を備えた systemmigrationd デーモンを使用する組み込み macOS アプリである macOS Migration Assistant ユーティリティを悪用することで、SIP セキュリティの強制をバイパスできる可能性があることを発見しました。世襲の権利。
研究者らは、root 権限を持つ攻撃者が AppleScript を使用して移行プロセスを自動化し、システムを再起動して macOS Recovery から起動することなく、SIP の除外リストに追加した後に悪意のあるペイロードを起動できることを実証しました。
「Apple によって署名され、com.apple.rootless.install.heritable 資格を持つシステム プロセスに焦点を当てたところ、SIP チェックをバイパスするセキュリティ コンテキストで任意のコードを実行するために改ざんされる可能性のある 2 つの子プロセスが見つかりました。」 Microsoft 脅威インテリジェンス チームは次のように述べています。
任意の SIP バイパスには、標準的な削除方法では削除できない SIP で保護されたマルウェアの作成など、悪意のあるコードが広範な影響を与える可能性があるため、特にマルウェア作成者によって悪用された場合に重大なリスクが伴います。
また、攻撃対象領域が大幅に拡大し、攻撃者が任意のカーネル コードの実行を通じてシステムの整合性を改ざんしたり、悪意のあるプロセスやファイルをセキュリティ ソフトウェアから隠すためのルートキットをインストールしたりする可能性があります。
SIP 保護をバイパスすると、透明性、同意、および制御 (TCC) ポリシーの完全なバイパスも可能になり、攻撃者が TCC データベースを置き換えて、被害者の個人データへの無制限のアクセスを許可できるようになります。
このような macOS の脆弱性は、近年 Microsoft の研究者によって報告されたのが初めてではなく、2021 年にはShrootless と呼ばれる別の SIP バイパスが報告されており、攻撃者が侵害された Mac 上で任意の操作を実行したり、権限を root に昇格させたり、脆弱なデバイスにルートキットをインストールしたりできる可能性があります。
最近では、Microsoft の主任セキュリティ研究者である Jonathan Bar Or 氏も、攻撃者が Gatekeeper の実行制限を回避できる信頼できないアプリを介してマルウェアを展開するために悪用できる「Achilles」として知られるセキュリティ上の欠陥を発見しました。
彼はまた、攻撃者が透明性、同意、および制御 (TCC) テクノロジーをバイパスしてユーザーの保護されたデータにアクセスできる可能性があるもう 1 つの macOS セキュリティ バグpowerdir も発見しました。
Comments