Microsoft のセキュリティ研究者は、現在パッチが適用されているmacOSこの脆弱性により、攻撃者は Mac のシステム整合性保護をバイパスできます。
「Shrootless」と呼ばれるこの脆弱性は、Apple が公証したアプリ インストール パッケージが通常 SiP によって禁止されているアクティビティを依然として実行できるという事実を利用しています。によるとブログ投稿Microsoft の 365 Defender Research チームによると、これは、カーネルが macOS 上の保護された場所を変更できるためです。
通常、この種の攻撃は、maCOS 10.11 El Capitan で初めて導入された SiP によって防止されます。この機能は、アプリまたはユーザーが root 権限を持っている場合でも、macOS 内の特定のファイルの変更に対するカーネル レベルの防御を追加します。
ただし、Microsoft が指摘しているように、SiP では、アプリやその他のファイルをインストールするために、インストーラー パッケージが一時的に保護を回避できるようにする必要があります。これは、パッケージが継承システムを通じて SiP をバイパスできるようにすることで実現されます。
問題は、インストール パッケージに、macOS がデフォルトのシステム シェルで実行するインストール後のスクリプトが含まれる可能性があるという事実にあります。攻撃者がこれらのスクリプトを変更した場合、継承された SiP バイパス権限を使用してスクリプトが実行される可能性があることを意味します。
もちろん、攻撃手法は、ユーザーが改ざんされたインストーラー パッケージをダウンロードして実行するかどうかによって決まります。攻撃者はユーザーをだまして悪意のあるインストーラー パッケージをダウンロードさせる可能性があります。また、ユーザーが単に不注意でパッケージをダウンロードしてしまう可能性もあります。
この脆弱性が悪用されると、理論的には、攻撃者が昇格されたアクセス許可を通じて他の攻撃を実行したり、システム上の永続性を取得したりできる可能性があります。
自分を守る方法
Apple はこの脆弱性を修正しましたmacOS モントレー12.0.1 およびセキュリティ アップデートでmacOS ビッグサーそしてmacOS カタリナ。
ただし、Apple のオペレーティング システムの古いバージョンは依然としてこの欠陥に対して脆弱です。このことと、最近のリリースに含まれる他のセキュリティ更新プログラムのため、ユーザーはコンピュータをアップグレードすることをお勧めします。
