AppleInsiderスタッフ
· 1分で読めます
研究者らが Apple の最新バージョンの OS X 10.10.4 に新たな権限昇格のゼロデイ脆弱性を発見してから 1 週間後、悪意のあるハッカーがシステム パスワードを必要とせずに対象の Mac にアドウェアやマルウェアをインストールできるエクスプロイトが登場しました。
Ars Technicaによると、 Malwarebytesによって発見されたこのマルウェアインストーラーは、最新バージョンの OS X で導入された新しいエラーログ機能を悪用しています。具体的には、インストーラーは Mac の sudoers 設定ファイルを変更することでルートレベルの権限を取得し、VSearch、Genieo パッケージのバリエーション、MacKeeper などのアドウェアをインストールできる状態になります。
Malwarebytesより:
ここに示したコードスニペットからわかるように、DYLD_PRINT_TO_FILEの脆弱性を悪用するスクリプトはファイルに書き込まれ、その後実行されます。スクリプトの一部には、実行完了時に自身を削除する機能が含まれています。しかし、このスクリプトの真髄はsudoersファイルの変更です。このスクリプトによる変更により、通常のパスワード入力を必要とせずに、sudoを使用してシェルコマンドをroot権限で実行できるようになります。
次に、スクリプトはsudoの新しいパスワードフリー動作を利用して、インストーラーのディスクイメージ上の隠しディレクトリにあるVSInstallerアプリを起動します。これにより、完全なルート権限が付与され、どこにでも何でもインストールできるようになります。(このアプリはVSearchアドウェアのインストールを担当します。)
Ars Technicaは先週、研究者のステファン・エッサー氏が発見したこのバグについて初めて報じました。エッサー氏によると、開発者はOS Xの標準セキュリティプロトコルであるダイナミックリンカーdyldを使用していなかったとのことです。エッサー氏によると、この脆弱性はAppleの現行OS X 10.10.4とOS X 10.10.5の最新ベータ版に存在するものの、OS X 10.11の初期ビルドには存在しないとのことです。
この脆弱性に関するニュースは、研究者らがMacとPCの両方のハードウェアに影響を与える概念実証ファームウェアワームを公開した後に発表されました。Thunderstrike 2と呼ばれるこの攻撃は、イーサネットアダプタやSSDなどの周辺機器のオプションROMを標的としており、感染したデバイスをMacに接続するだけで拡散します。
