Interviews Brawte nfaq 0 Comments

AppleのmacOS Gatekeeperは仕事中に眠っている:悪用された脆弱性により、ユーザーはマルウェア感染の「重大なリスク」にさらされる

Table of Contents

AppleのmacOS Gatekeeperは仕事中に眠っている:悪用された脆弱性により、ユーザーはマルウェア感染の「重大なリスク」にさらされる

AppleはmacOS 11.3をリリースし、攻撃者がオペレーティングシステムのGatekeeperセキュリティメカニズムをすり抜けて悪意のあるファイルをこっそり持ち込むことを可能にした重大な欠陥を修正した。

このバグを発見したセキュリティ研究者のセドリック・オーウェンズ氏はThe Registerへのメッセージで、Gatekeeper はマルウェアのインストールに対する macOS の主要な防御機能の 1 つであると説明した。

彼によると、この脆弱性を悪用すれば、攻撃者は悪意のあるファイルを細工することで、ユーザーが開こうとしてもGatekeeperによってブロックされないようにすることができるという。彼はこれを、最近のmacOSバージョンで遭遇した脆弱性の中で最も危険なものの一つだと考えている。

このバグを悪用した悪質なペイロードをインストールするには、ユーザーが電子メールのリンクまたは Web サイト経由で Mac にダウンロードされたマルウェアをダブルクリックするだけで済みます。

「被害者がこれらのペイロードの1つを実行すると、攻撃者はTCC(Appleの透明性、同意、制御フレームワーク)で保護されていないディレクトリ内の機密データにリモートでアクセスできるようになります」とオーエンズ氏は述べ、Mediumへの投稿で調査結果を詳しく説明した。

無料セキュリティプロジェクトObjective Seeの創設者であり、セキュリティ企業Synackの研究ディレクターでもあるセキュリティ研究者のPatrick Wardle氏は、 The Registerへの電子メールで、「このバグは、macOSのポリシーサブシステムの奥深くにある微妙な論理的欠陥であり、ファイルの隔離、ゲートキーパー、公証の要件など、多くのAppleのコアセキュリティメカニズムを簡単に回避し、Macユーザーを重大なリスクにさらします」と述べています。

彼はここでこの問題について全文を書いています。

Macマルウェア感染のほとんどは、ユーザーが意図せず感染したソフトウェアを実行したことが原因だと彼は述べた。彼は最近確認されたSilver Sparrowマルウェアを例に挙げた。このマルウェアは、ユーザーの操作を必要としていたにもかかわらず、数週間で3万台以上のMacに感染した。

お金の山

少なくともソニーはTシャツを提供した、とmacOSの欠陥発見者は言う:この0日脆弱性が欲しいなら、Macのバグ報奨金制度が開始、Apple

続きを読む

Apple は長年にわたり、インタラクションベースのマルウェアの脅威を軽減するために、2007 年のファイル隔離 (Mac OS X Leopard)、2012 年の Gatekeeper (Mac OS X Lion v10.7.5)、2020 年のアプリケーション公証 (macOS 10.15) など、相互に関連するメカニズムを実装してきました。

ウォードル氏は、このバグにより、「署名されていない(つまり認証されていない)にもかかわらず、誤分類され、プロンプトや警告なしで起動できる悪意のあるアプリケーションを作成することが可能になる」と説明した。これは事実上、macOSのセキュリティの側面を2007年以前のレベルに戻してしまうことになる。

Wardle氏が指摘した論理的な欠陥は、設定ファイルを/bin/sh持たないスクリプトベースのアプリケーション(シェル経由で実行)をInfo.plist「バンドルではない」と誤分類してしまうコードの見落としに起因しています。つまり、スクリプトはGatekeeperの警告や権限確認なしに実行できるということです。この問題は、2019年のmacOS Catalina 10.15のリリース以来、存在しています。

Objective Seeの無料セキュリティツール「BlockBlock」には、Gatekeeperのバイパスを悪用しようとする悪意のあるスクリプトなど、認証されていないアプリを検出するモードがあります。エンタープライズ向け製品「Jamf Protect」にも同様のモードがあるようです。

ウォードル氏は、セキュリティ企業Jamfの元同僚らとともに今月初め、このバグを悪用するMacマルウェアを実際に発見したと述べた。

Jamf の macOS 検出専門家 Jaron Bradley 氏によると、この手法を使用して検出されたマルウェアは、2018 年に発見されたマルウェア ファミリーの Shlayer の更新バージョンであり、最も一般的な Mac マルウェアの 1 つです。

「私たちが検知した脆弱性の一つが、この新たな亜種を私たちに知らせてくれました。詳しく調べたところ、このバイパスを利用してエンドユーザーに確認を求めることなくインストールできることがわかりました」とブラッドリー氏はThe Registerへのメッセージで説明した。「さらに分析を進めた結果、このマルウェアの開発者は2021年初頭にゼロデイ脆弱性を発見し、それを利用するためにマルウェアを調整したと考えられます。」

Shlayerの目的は被害者のコンピュータにアドウェアをインストールし、マルウェア作成者が広告収入を得ることだとブラッドリー氏は述べ、ゲートキーパー回避技術を使った最初のサンプルが2021年1月9日に発見されたことを指摘した。

オーウェンズ氏は3月25日にAppleにこのバグを報告したと述べた。ウォードル氏によると、Appleはベータコード内の変更された文字列を徹底的に調査した結果、5日後のmacOS Big Sur 11.3ベータリリースでこの問題を修正したという。macOSユーザーがアップデートを適用すれば、macOS Big Sur 11.3の正式リリースでこの脆弱性は解消されるはずだ。®

Interviews

Smart Recommendations

Discover More