アンドリュー・オール
· 1分で読めます
Appleのカレンダーアプリにも脆弱性あり
セキュリティ研究者が、カレンダーへの招待だけでハッカーがユーザーの iCloud に完全にアクセスできる macOS の古いハッキングについて詳細を説明した。
2022年、セキュリティ研究者のミッコ・ケンタラ氏は、macOSカレンダーにゼロクリック脆弱性を発見しました。この脆弱性により、攻撃者はカレンダーサンドボックス環境内でファイルの追加や削除を行える可能性がありました。この脆弱性により、攻撃者は悪意のあるコードを実行し、被害者のデバイスに保存されているiCloudフォトなどの機密データにアクセスすることが可能になりました。
このエクスプロイトは、攻撃者が悪意のある添付ファイルを含むカレンダー招待を送信することから始まります。ファイル名は適切にサニタイズされていないため、攻撃者は「ディレクトリトラバーサル」攻撃を実行できます。つまり、ファイルのパスを操作して意図しない場所に配置できるのです。
この脆弱性(CVE-2022-46723)により、攻撃者はカレンダーアプリのファイルシステム内のファイルを上書きまたは削除できます。例えば、攻撃者が「FILENAME=../../../malicious_file.txt」という名前のファイルを送信すると、そのファイルはユーザーのファイルシステム内の本来のディレクトリではなく、より危険な場所に配置されます。
攻撃者は、任意のファイル書き込み脆弱性を悪用することで、攻撃をさらにエスカレートさせる可能性があります。特にMontereyからVenturaへのmacOSのアップグレード時に、コードを実行するように設計された悪意のあるカレンダーファイルを挿入する可能性があります。
完全なエクスプロイトチェーン
これらのファイルには、システムがカレンダーデータを処理する際にトリガーされるアラート機能を備えたイベントが含まれていました。挿入されたファイルには、.dmg画像や.urlショートカットなどのファイルを自動的に起動するコードが含まれており、最終的にはリモートコード実行(RCE)につながります。
最終的には、攻撃者はユーザーの知らないうちに、またはユーザーの介入なしに Mac を完全に乗っ取ってしまう可能性があります。
幸いなことに、このハッキングは新しいものではありません。Appleは2022年10月から2023年9月にかけて、複数回のアップデートでこの問題に対処しました。これらの修正には、カレンダーアプリ内のファイル権限の強化や、ディレクトリトラバーサル攻撃を防ぐためのセキュリティレイヤーの追加などが含まれています。
ゼロクリック攻撃から身を守る方法
macOSのカレンダーで発見されたようなゼロクリック脆弱性から身を守るには、いくつかの保護対策を講じることが不可欠です。まず第一に、ソフトウェアを常に最新の状態に保つことが重要です。
Appleはセキュリティ上の欠陥を修正するパッチを頻繁にリリースしており、自動アップデートを有効にすると重要な修正を確実に受けられます。最後に、カレンダー、写真、ファイルなどの機密データへのアプリのアクセスを制限して、デバイスのセキュリティ設定を強化しましょう。