マイク・ピーターソン
· 1分で読めます
クレジット: アンドリュー・オハラ、AppleInsider
Apple は macOS プラットフォームのセキュリティを強化する措置を講じていますが、最も重要な保護の一部を回避できる脆弱性が依然として表面化しています。
サイバーセキュリティ企業Malwarebytesの最新レポートによると、Objective by the Seaカンファレンスで公開されたいくつかの脆弱性とエクスプロイトは、Macを標的とした攻撃の進化を如実に示している。OBTSは、Appleデバイスと製品に特化している唯一のセキュリティカンファレンスである。
透明性、同意、コントロールのバイパス
たとえば、セキュリティ研究者は、Apple の透明性、同意、制御システム (特定のデータにアクセスするためにユーザー コンテンツを必要とするメカニズム) を回避する 2 つの攻撃を実証しました。
ある攻撃では、ルート権限を持つリモート攻撃者が、システム上に新規ユーザーを作成し、そのユーザーに権限を付与するだけで、悪意のあるプロセスにデータアクセスを許可していました。別の脆弱性では、ディスクイメージファイルのマウントポイントが利用されていました。つまり、研究者は特定の権限データベースを改変し、ほぼすべてのプロセスにTCC権限を付与することができました。
OBTSカンファレンスで実証されたもう1つの脆弱性は、MacのTCC保護が保護するデータの種類に関係しています。例えば、マルウェアは、接続を認証するための証明書を保存する.sshフォルダからデータを収集する可能性があります。Malwarebytesによると、攻撃者がこのフォルダにアクセスできれば、組織のインフラストラクチャ内を「移動」できるようになる可能性があります。
macOSインストーラー
OBTS カンファレンス中に登場した他の攻撃には、Apple のインストーラ保護を標的にしたり回避したりするものも含まれていました。
例えば、Silver Sparrowマルウェアは、MacシステムのDistributionファイルを使用します。Distributionファイルは、インストーラーに情報やオプションを伝えるために使用されます。Distributionファイル内でJavaScriptコードが実行される可能性があるため、潜在的な攻撃の脅威となります。
具体的には、Silver Sparrow は、システムがインストール要件を満たしているかどうかを確認するために当初意図されていたスクリプトを使用して、密かにマルウェアをダウンロードしてインストールしていました。
Appleのインストール保護を回避するもう一つの方法として、ペイロードフリーインストーラがあります。これは基本的に何もインストールしないインストーラで、インストールプロセスを実行するスクリプトのシェルとして機能します。
OBTS では、少なくともさらに 2 つの脆弱性が議論されました。これには、システムにペイロードをインストールするために悪意を持って作成されたインストーラー プラグインと、Mac アプリが Gatekeeper を完全にバイパスできる可能性がある macOS の欠陥が含まれます。
脆弱性とそれを発見した研究者に関する詳しい情報は、Malwarebytes のブログでご覧いただけます。
