MicrosoftがmacOSのセキュリティを回避するバグを発見

Appleは最近、macOSオペレーティングシステムの脆弱性を修正しました。この脆弱性は、脅威アクターによってAppleのGatekeeperセキュリティメカニズムを回避され、脆弱なmacOSデバイスにマルウェアを展開される可能性があります。

Microsoftの主なセキュリティ研究者であるJonathan Bar Orは、Gatekeeper、これを回避できる脆弱性、およびその欠陥の影響について、月曜日に公開されたセキュリティブログ投稿で詳述しました。

この研究は、研究者とセキュリティコミュニティの間の協力の重要性を強調し、より大きなエコシステムの防御を改善するためにMicrosoftによって共有されました。

CVE-2022-42821（アキレスと呼ばれる）として追跡されるこの脆弱性は、攻撃者がAppleのGatekeeperセキュリティチェックによって課せられたアプリケーション実行制限を回避するシナリオに関連しています。これは、信頼できるソフトウェアのみがMacデバイスで実行されることを保証するために設計されています。

Microsoftは、2022年7月にMicrosoft Security Vulnerability Research（MSVR）を通じて、Coordinated Vulnerability Disclosure（CVD）を介してAppleにこの脆弱性を共有しました。

iPhoneメーカーは、2022年12月13日にmacOS 13（Ventura）、macOS 12.6.2（Monterey）、およびmacOS 1.7.2（Big Sur）でアキレス脆弱性に対処するための更新を提供しました。

「このようなGatekeeperの回避は、マルウェアやその他の脅威による初期アクセスのベクトルとして利用され、macOSに対する悪意のあるキャンペーンや攻撃の成功率を高める可能性があります」とJonathanはブログ投稿で書いています。

制限付きACLがGatekeeperを回避

GatekeeperはmacOSのセキュリティ機能であり、コード署名を強制し、アプリケーションが実行される前にダウンロードされたアプリケーションを検証することで、マルウェアを誤って実行する可能性を減らします。

Safariのようなブラウザからアプリをダウンロードする際、ブラウザはダウンロードされたファイルにcom.apple.quarantineという特別な拡張属性を割り当てます。これは後でGatekeeperのようなポリシーを強制するために使用されます。

現在のGatekeeperの設計は、ダウンロードされたアプリに対して次の動作を規定しています：

2. アプリが有効に署名され、Appleによって承認されている場合、ユーザーの同意を求めるプロンプトが表示され、アプリが起動されます。

3. そうでない場合、ユーザーにはアプリが信頼できないため実行できないことが通知されます。

「macOS上のマルウェアを防ぐ上での重要な役割のため、Gatekeeperは有用で効果的なセキュリティ機能です」とJonathanは付け加えます。

「しかし、過去にこのセキュリティ機能をターゲットにした多くの回避技術が存在したことを考えると、Gatekeeperは完全ではありません。Gatekeeperを回避する能力を得ることは、時にはマルウェア作成者が初期アクセスのためにこれらの技術を利用するため、深刻な影響を及ぼします。」

アキレス脆弱性を示すために、MicrosoftはACLを悪用するAppleDoubleファイルを調査するための概念実証（POC）を開発しました。

AppleDoubleは、メタデータを元のファイルの横に別のファイルに保存するファイル形式であり、「._」プレフィックスが付いています。

同社は、ダウンロードされたファイルに非常に制限されたACLを追加することを決定しました。これにより、Safari（または他のプログラム）がcom.apple.quarantine属性を含む新しい拡張属性を設定することが禁止されました。

POCを実行するために、Microsoftは任意のアイコンとペイロードを持つ偽のディレクトリ構造を作成しました。

レドモンドの巨人は次に、com.apple.ac.text拡張属性キーを持つAppleDoubleファイルを作成し、「everyone deny write,writeattr,writeextattr,writesecurity,chown」の同等物を選択することで制限されたACLを表す値を設定しました。AppleDoubleファイルを生成するためにdittoを使用する場合は、正しいAppleDoubleパッチを実行してください。

最後に、悪意のあるアプリ内に悪意のあるペイロードをアーカイブし、そのAppleDoubleファイルと共にウェブサーバーにホストしました。

その結果、悪意のあるアプリはGatekeeperによってブロックされることなく、攻撃者がマルウェアをダウンロードして展開できるようになりました。

「Appleのロックダウンモードは、macOS Venturaで導入された高リスクユーザー向けのオプションの保護機能であり、洗練されたサイバー攻撃によって個人的に標的にされる可能性があるユーザーを対象としています。これはゼロクリックのリモートコード実行の脆弱性を防ぐことを目的としており、したがってアキレスに対して防御を提供しません」とMicrosoftのセキュリティ脅威インテリジェンスチームは月曜日に述べました。

「エンドユーザーは、ロックダウンモードの状態に関係なく修正を適用するべきです。」