Apple はセキュリティを強化するための措置を講じていますが、macOSプラットフォームでは、最も重要な保護の一部を回避する可能性のある脆弱性が依然として表面化しています。
サイバーセキュリティ企業 Malwarebytes の新しいレポートによると、いくつかの脆弱性と悪用が公開されました。海の目標カンファレンスでその方法を説明するマック-標的型攻撃は進化しています。 OBTS は、Apple のデバイスと製品のみに焦点を当てた唯一のセキュリティ カンファレンスです。
透明性、同意、制御のバイパス
たとえば、セキュリティ研究者は、Apple の透明性、同意、および制御システム (ユーザー コンテンツが特定のデータにアクセスすることを要求するメカニズム) をバイパスする 2 つの攻撃を実証しました。
ある攻撃では、root 権限を持つリモート攻撃者が、システム上に新しいユーザーを作成し、そのユーザーに権限を付与させるだけで、悪意のあるプロセスへのデータ アクセスを許可しました。別の脆弱性では、ディスク イメージ ファイルのマウント ポイントが悪用されていました。基本的に、研究者は特定のアクセス許可データベースを変更し、ほぼすべてのプロセスに TCC アクセス許可を付与することができました。
OBTS カンファレンスで実証された別の脆弱性は、Mac の TCC 保護がどのような種類のデータを保護するかに関係しています。たとえば、マルウェアは、接続を認証する証明書を保存するために使用される .ssh フォルダーからデータを収集する可能性があります。 Malwarebytes によると、これにより、攻撃者がそのフォルダーにアクセスした場合、組織のインフラストラクチャ内を「移動」することが可能になる可能性があります。
OBTS カンファレンス中に登場した他の攻撃には、Apple のインストーラー保護を標的にしたり回避したりするものも含まれます。
のSilver Sparrow マルウェアたとえば、Mac システムではディストリビューション ファイルを使用します。このファイルは、インストーラの情報とオプションを伝達するために使用されます。 JavaScript コードが配布ファイル内で実行され、潜在的な攻撃への扉が開かれる可能性があります。
具体的には、Silver Sparrow は当初、システムがインストール要件を満たしているかどうかをチェックすることを目的としたスクリプトを使用して、マルウェアを秘密裏にダウンロードしてインストールしました。
Apple のインストール保護を回避するもう 1 つの方法には、ペイロードのないインストーラーが含まれます。これらは本質的には何もインストールしないインストーラーです。代わりに、これらはインストール プロセスを実行するスクリプトのシェルです。
OBTS では、システムにペイロードをインストールするために悪意を持って作成されたインストーラー プラグインや、Mac アプリが Gatekeeper を完全にバイパスできる可能性がある macOS の欠陥など、少なくとも 2 つの脆弱性が OBTS で議論されました。
脆弱性と脆弱性を発見した研究者に関する詳細情報は、次のサイトでご覧いただけます。Malwarebytes のブログ。
