マイキー・キャンベル
· 2分で読めます
ラスベガスで開催中のブラックハット・セキュリティカンファレンスの研究者らは、装備の整ったハッカーが初めてMacをWi-Fiに接続した瞬間に侵入できる、Appleのエンタープライズツールの脆弱性を実証する予定だが、このバグは最新のmacOS High Sierraアップデートですでに修正されている。
Wiredの報道によると、Mac管理会社Fleetsmithの最高セキュリティ責任者ジェシー・エンダール氏とDropboxのスタッフエンジニア、マックス・ベランジェ氏は、Appleのエンタープライズ向けハードウェア管理設定ツールに、標的のMacへのリモートアクセスに利用できるバグを発見した。2人は木曜日にこの脆弱性を悪用した攻撃のデモンストレーションを行う予定だ。
特に、ハッカーは、クライアントが新しい Mac に初めてログインする前に、マルウェアやその他の悪意のあるソフトウェアをダウンロードする中間者攻撃を、ある程度の困難を伴いながら実行することができます。
Apple のエンタープライズ ツールであるデバイス登録プログラムとモバイル デバイス管理プラットフォームは連携して動作し、従業員に多数のデバイスを導入する企業に簡単な IT セットアップ レジメンを提供します。
Fleetsmithのような企業の支援により、MDMプログラムに参加している企業は、従業員に新しいハードウェアをAppleから直接送付することができます。従業員が新しいMacを初めて開いてログインすると、MacはAppleのサーバーとMDMベンダーのサーバーに接続し、構成マニフェストを取得します。
Macはサーバーからサーバーへと移動し、プロビジョニングされたアセットを取得して自動セットアッププロセスを完了します。このプロセスにより、MDM顧客のインフラストラクチャとの統合準備が整った、カスタム構成されたマシンが完成します。Endahl氏とBélanger氏は、設定プロセス全体を通してWebサーバーを認証するAppleの証明書ピンニングに問題を発見しました。
特に、研究者らはAppleのMDMシーケンスにバグを発見した。このプロセスでマシンがMac App Storeに引き渡される際に、アプリのダウンロードマニフェストの真正性を確認するためのピン留めが完了できないという。報告書によると、この脆弱性を悪用することで、ハッカーはエンドユーザーに警告することなく、標的のMacにリモートから悪意のあるコードをインストールできる可能性がある。
「ユーザーが初めてログインする前に、デバイスに侵入して悪意のあるソフトウェアをインストールできるバグを発見しました」とエンダール氏は語る。「ユーザーがログインしてデスクトップが表示される頃には、コンピューターはすでに侵入されているのです。」
技術的には可能ではあるものの、ハッカーがそのような攻撃を実行するには、適切なツールと権限へのアクセスが必要です。例えば、Endahl氏はFleetsmith氏のMDM権限を利用して認証済みサーバーと不正なペイロードを設定することでのみ、この脆弱性を実証することができました。とはいえ、この攻撃は企業の管理対象Macネットワーク全体へのアクセスを可能にするため、熱心なハッカー、あるいはやる気のある政府機関であれば、攻撃を試みざるを得ないかもしれません。
「この件の恐ろしい点の一つは、企業レベルでこれを設定できれば、中間者攻撃をどこで行うかによって全員が感染してしまう可能性があることです」とベランジェ氏は述べた。「これはすべてデバイスのセットアップのごく初期段階で行われるため、セットアップコンポーネントが実行できることに実質的な制限はありません。これらのコンポーネントは完全な権限を持っているため、非常に特殊な方法で侵害されるリスクがあります。」
Appleはこの脆弱性について通知を受け、先月リリースされた最新のmacOS High Sierra 10.13.6アップデートで修正を行いましたが、ユーザーはまだ脆弱な状態です。Wiredが指摘しているように、このバグは1か月前に修正されましたが、多くのMacが流通在庫として残っており、古いバージョンのパッチ未適用OSが動作している可能性があります。さらに、Endahl氏とBélanger氏によると、Macの導入を担当するMDM企業も、この脆弱性に対抗するために最新のmacOS 10.13.6リリースをサポートする必要があるとのことです。
