Apple は、攻撃者が Gatekeeper アプリケーションの実行制限をバイパスできる信頼されていないアプリケーションを介して、脆弱な macOS デバイスにマルウェアを展開するために利用できる脆弱性を修正しました。
Microsoft の主任セキュリティ研究者である Jonathan Bar Or によって発見および報告されたこのセキュリティ上の欠陥 ( Achillesと呼ばれる) は、現在CVE-2022-42821として追跡されています。
Apple は、1 週間前の 12 月 13 日に、 macOS 13 (Ventura)、 macOS 12.6.2 (Monterey)、およびmacOS 1.7.2 (Big Sur) のバグに対処しました。
制限付き ACL によるゲートキーパー バイパス
Gatekeeperは macOS のセキュリティ機能であり、インターネットからダウンロードしたすべてのアプリが公証され、開発者が署名 (Apple によって承認されている) されているかどうかを自動的にチェックし、アプリを起動する前、またはアプリが信頼できないという警告を発行する前にユーザーに確認を求めます。
これは、Windows の Web のマークと同様に、ダウンロードしたすべてのファイルに Web ブラウザーによって割り当てられる com.apple.quarantine という名前の拡張属性をチェックすることによって実現されます。
Achilles の脆弱性により、特別に細工されたペイロードがロジックの問題を悪用して制限的なアクセス コントロール リスト (ACL) のアクセス許可を設定し、Web ブラウザーやインターネット ダウンローダーが、ZIP ファイルとしてアーカイブされたダウンロードされたペイロードに com.apple.quarantine 属性を設定するのをブロックすることができます。
その結果、ゲートキーパーによってブロックされる代わりに、アーカイブされた悪意のあるペイロードに含まれる悪意のあるアプリがターゲットのシステムで起動し、攻撃者がマルウェアをダウンロードして展開できるようになります。
マイクロソフトは月曜日に、「洗練されたサイバー攻撃によって個人的に標的にされる可能性のあるリスクの高いユーザー向けのオプションの保護機能として macOS Ventura に導入された Apple のロックダウン モードは、ゼロクリック リモート コード実行エクスプロイトを阻止することを目的としており、したがって、アキレスを守る。」
「エンドユーザーは、ロックダウン モードのステータスに関係なく、修正プログラムを適用する必要があります」と Microsoft セキュリティ脅威インテリジェンス チームは付け加えました。
より多くの macOS セキュリティ バイパスとマルウェア
これは、過去数年間に発見された複数のゲートキーパー バイパスの 1 つにすぎません。その多くは、完全にパッチが適用された Mac 上のゲートキーパー、ファイル検疫、およびシステム整合性保護 (SIP) などの macOS セキュリティ メカニズムを回避するために攻撃者によって実際に悪用されています。
たとえば、Bar Or は 2021 年にShrootless と呼ばれるセキュリティ上の欠陥を報告しました。これにより、攻撃者はシステム整合性保護 (SIP) をバイパスして、侵害された Mac で任意の操作を実行し、特権をルートに昇格させ、脆弱なデバイスにルートキットをインストールすることさえできます。
研究者は、攻撃者が透明性、同意、および制御 (TCC) テクノロジをバイパスして、ユーザーの保護されたデータにアクセスできるようにするバグであるpowerdir も発見しました。
彼はまた、macOS の脆弱性 (CVE-2022-26706) のエクスプロイト コードをリリースしました。これは、 攻撃者がサンドボックスの制限を回避してシステム上でコードを実行するのに役立つ可能性があります。
最後になりましたが、Apple は 2021 年 4 月に macOS のゼロデイ脆弱性を修正しました。これにより、悪名高い Shlayer マルウェアの背後にいる攻撃者が、Apple のファイル検疫、ゲートキーパー、および公証セキュリティ チェックを回避し、感染した Mac にさらに多くのマルウェアをダウンロードできるようになりました。
また、Shlayer の作成者は、Apple の自動公証プロセスを通じてペイロードを取得し、何年も前の手法を使用して権限をエスカレートし、 macOS の Gatekeeper を無効にして署名されていないペイロードを実行していました。
Comments