Microsoftがユーザーデータへのアクセスを可能にするMacOS「Powerdir」脆弱性を明らかに

Microsoftの365 Defender研究チームは月曜日にブログ投稿で、攻撃者がオペレーティングシステムの透明性、同意、制御（TCC）技術を回避し、ユーザーの保護されたデータに不正アクセスできる新しいmacOS脆弱性「powerdir」を発見したことを明らかにしました。

発見後、Microsoftはその調査結果をAppleと共有し、これによりクパチーノの巨人はこの脆弱性の修正をリリースしました。この脆弱性はCVE-2021-30970として特定され、2021年12月13日にリリースされたセキュリティアップデートの一部として提供されました。

「macOSユーザーには、できるだけ早くこれらのセキュリティアップデートを適用することをお勧めします」とMicrosoftは書いています。

知らない方のために、TCCはmacOSの技術で、基本的にはユーザーがアプリのプライバシー設定を構成するのを助けるために設計されています。これには、デバイスのカメラ、マイク、位置情報へのアクセス、ユーザーのカレンダーやiCloudアカウントへのアクセスなどが含まれます。

TCCを保護するために、Appleは不正なコードの実行を防ぐ機能を導入し、TCCへのアクセスをフルディスクアクセスを持つアプリのみに制限するポリシーを強制しました。

Microsoftは、ターゲットユーザーのホームディレクトリをプログラム的に変更し、アプリリクエストの同意履歴を保存する偽のTCCデータベースを植え付けることが可能であることを発見しました。

未パッチのシステムで悪用された場合、「powerdir」脆弱性は悪意のあるアクターがユーザーの保護された個人データに基づいて攻撃を組織する可能性を許可する可能性があります。たとえば、攻撃者はデバイスにインストールされたアプリをハイジャックするか、自分の悪意のあるアプリをインストールし、マイクにアクセスしてプライベートな会話を録音したり、ユーザーの画面に表示される機密情報のスクリーンショットをキャプチャしたりすることができます。

チームは、他のTCC脆弱性が以前に報告され、その後発見前にパッチが適用されたことを指摘しました。また、最新の修正の1つを調査する中でpowerdir脆弱性が見つかったことも指摘しました。

「実際、この研究中に、初期バージョンが最新のmacOSバージョンで動作しなくなったため、概念実証（POC）エクスプロイトを更新する必要がありました」とMicrosoftは付け加えました。

「これは、macOSや他のオペレーティングシステムおよびアプリケーションが各リリースごとにより堅牢になっていく中で、Appleのようなソフトウェアベンダー、セキュリティ研究者、そしてより大きなセキュリティコミュニティが、攻撃者がそれらを利用する前に脆弱性を特定し修正するために継続的に協力する必要があることを示しています。」

Microsoftのセキュリティ研究者は、macOSや他の非Windowsデバイスに影響を与える可能性のある新しい脆弱性や攻撃者の技術を発見するために「脅威の状況を監視し続けている」と結論付けました。

エクスプロイトの詳細については、Microsoft 365 Defender研究チームのブログ投稿を読むことができます。