macOSのアーカイブユーティリティの欠陥により、ハッカーがGatekeeperをバイパスする可能性

macOSを最新の状態に保つ最大の理由の1つは、セキュリティの問題から身を守ることです。Jamf Threat Labsは 2022年の夏に、攻撃者がmacOS Gatekeeperをバイパスできる大きな問題を発見しました。

Jamf Threat Labsは、macOS Monterey 12.5に脆弱性を発見しました。同社は2022年5月31日に Appleに報告し、Appleは7月にパッチを適用しました。

Jamfによると、悪意のある可能性のあるアクティビティを監視するシステムAPI であるMacエンドポイントセキュリティをバイパスできる脆弱性が同社のチームによってSafariに発見されたことがきっかけでした。

パッチが適用される前は、攻撃者は特定のターミナルコマンドを使用して悪意のあるアプリをZIPファイル内に配置し、Safariの脆弱性を悪用することができました。チームはその欠陥をAppleに報告した後、同様の問題に対して脆弱である可能性がある他のアーカイブ機能を調査しました。

ファイルを圧縮および解凍できる組み込みアプリである macOS Archive Utilityをテストした後、別の欠陥が見つかりました。これは、プラットフォーム全体のセキュリティの欠陥を追跡するCommon Vulnerabilities and ExposuresデータベースでCVE-2022-32910として追跡されています。

Jamfは、同様のコマンドでアーカイブ ユーティリティを使用して Appleアーカイブを作成すると、ファイルをダブルクリックして開くと、Gatekeeperとすべてのセキュリティチェックがバイパスされることを発見しました。

Appleアーカイブは、損失のない圧縮を可能にする同社独自の形式です。これらのファイルは、Finder で表示される場合、拡張子「.aar」を持ちます。ただし、チームによると、この欠陥はApple アーカイブに限定されたものではありません。

Jamfは、アーカイブがインターネットからダウンロードされると、com.apple.quarantineという固有の属性が追加されると説明しています。これは、ファイルがリモート ソースからダウンロードされており、実行を許可する前に確認する必要があることを macOSに通知します。

アーカイブユーティリティがアーカイブを抽出すると、抽出されたすべてのアイテムに検疫属性が適用されます。

その結果、Gatekeeperは、アーカイブ内の通常のディレクトリの外にあるそのファイルをチェックしません。例で使用されている画像ファイルの代わりに、攻撃者は悪意のあるアプリケーションを追加する可能性があります。

次に、ユーザーがインターネットからダウンロードしたアーカイブを開くと、悪意のあるコードが自動的に実行され、システムによるセキュリティプロンプトがユーザーに表示されなくなります。

この攻撃から身を守る最も明白な方法は、macOS を最新の状態に保つことです。この欠陥には夏以降にパッチが適用されています。

(via Appleinsider

Last Updated on 2022年10月7日 by Editor

※このサイトの記事には「噂」や「疑惑」など、不確定な情報が含まれています。ご了承ください。(管理人)

コメントを残す