新しいmacOSの脆弱性が不正なデータアクセスを可能にする

Microsoft Threat Intelligenceは木曜日に、攻撃者がオペレーティングシステムの透明性、同意、制御（TCC）技術をバイパスし、ユーザーの機密データに不正にアクセスできる可能性のあるmacOSの脆弱性を発見したと発表しました。

このmacOSの脆弱性はCVE-2024-44133として特定され、「HM Surf」と名付けられました。TCCは、アプリがユーザーの個人情報（位置情報サービス、カメラ、マイク、ダウンロードディレクトリなど）に、事前の同意と知識なしにアクセスするのを防ぐ技術です。

しかし、HM Surfの脆弱性は、SafariブラウザディレクトリのTCC保護を解除し、該当ディレクトリ内の設定ファイルを変更することに関係しています。

これにより、脅威のある行為者は、ユーザーの同意なしに、ブラウジング履歴、デバイスのカメラ、マイク、さらには位置情報を含む機密ユーザーデータに不正にアクセスできる可能性があります。

Microsoft Threat Intelligenceの報告によると、バイパスは~/Library/Safariディレクトリ内の機密ファイルに依存しています。

脅威のある行為者は、ユーザーの実際のホームディレクトリ（例：/Users/$USER/Library/Safari/PerSitePreferences.db）内の機密ファイルを変更することでセキュリティ制御を上書きし、Safariの権限とTCCを悪用することができます。

「ディレクトリから任意のファイルを読み取ることで、攻撃者は非常に有用な情報（ユーザーのブラウジング履歴など）を収集できます」と報告書は述べており、「ディレクトリへの書き込みは、たとえばPerSitePreferences.dbを上書きすることでTCCのバイパスを可能にします」と付け加えています。

レドモンドの巨人はさらに、Microsoft Defender for Endpointの行動監視保護が、既知のmacOSアドウェアAdloadに関連する疑わしい活動を観察しており、この脆弱性を悪用する可能性があると指摘しました。

「Microsoft Defender for Endpointは、HM Surfや他の方法によるPreferencesファイルの異常な変更を含むCVE-2024-44133の悪用を検出し、ブロックします」と報告書は追加しています。

Microsoftは、Microsoft Security Vulnerability Research（MSVR）を通じてAppleと協調脆弱性開示（CVD）を行い、その結果、Appleは2024年9月16日にmacOS Sequoiaの最新のセキュリティ更新の一環として修正しました。

現在、AppleのSafariブラウザのみがTCCによって提供される新しい保護を使用しています。Microsoftは、GoogleやMozillaを含む他の主要なブラウザベンダーと協力して、ローカル設定ファイルの強化の利点をさらに調査しています。

同社は、macOSユーザーに対し、この脆弱性から保護するためにAppleの最新のセキュリティ更新をできるだけ早く適用することを強く推奨しています。

「Microsoftは、macOSや他の非Windowsデバイスに影響を与える可能性のある新しい脆弱性や攻撃者の手法を発見するために脅威の状況を監視し続けています。クロスプラットフォームの脅威が増加し続ける中、脆弱性の発見や他の形態の脅威インテリジェンス共有に対する協調的な対応は、ユーザーのコンピューティング体験を保護する技術を豊かにするのに役立ちます」と報告書は結論付けています。