セキュリティ

macOSのマルウェア対策機能をバイパスしたゼロデイ攻撃が「テスト中」であることをセキュリティ研究者が報告

by Daniel Korpai

macOSのセキュリティ機能「Gatekeeper」の脆弱性を利用して何者かが「OSX/Linker」と呼ばれるマルウェアでゼロデイ攻撃のテストをしていることを研究者が発見しました。Appleはこの脆弱性についての報告を受けていますが、記事作成時点で修正が行われてないため、ネットワーク管理者や一般ユーザーへの注意が呼びかけられています。

OSX/Linker: New Mac malware attempts zero-day Gatekeeper bypass | The Mac Security Blog
https://www.intego.com/mac-security-blog/osx-linker-new-mac-malware-attempts-zero-day-gatekeeper-bypass/

New Mac Malware Sails Right Through Apple’s Defenses
https://www.tomsguide.com/us/zero-day-flaw-macos,news-30440.html

New Mac Malware Exploits GateKeeper Bypass Bug that Apple Left Unpatched
https://thehackernews.com/2019/06/macos-malware-gatekeeper.html

macOSではマルウェア対策機能としてGatekeeperというテクノロジーを採用しています。GatekeeperはmacOS向けのアプリについて実行を許可する前に証明書を確認するといったさまざまなチェックを行うもの。Gatekeeperはインターネットからダウンロードしたアプリの他、直接インストールしたアプリにも適用されます。


しかし、2019年5月24日に「Mac OS XにはGatekeeperをバイパスできる脆弱性がある」という事実をセキュリティ研究者のFilippo Cavallarin氏が発見しました。Cavallarin氏によると、macOSはインターネットからダウンロードしたアプリとネットワークで共有されたアプリとで異なる扱いをし、ネットワーク共有ディレクトリについては「チェックを必要としない安全な場所」と認識しているとのこと。そのため攻撃者が何らかの方法でマルウェアを含む場所をネットワーク共有としてマウントさせれば、ターゲットのmacOSに送りこむことが可能です。

この1つの方法としてCavallarin氏は、「NFSサーバー上で制御するアプリのシンボリックリンクを作成し、それをZIPファイルに含め、ターゲットにZIPファイルをダウンロードさせること」を挙げています。macOSはZIPファイルの解凍処理時にシンボリックリンクのアクセス先をチェックしないため、Gatekeeperのチェックなしにインストールできる状態を作り出せるそうです。

Gatekeeperをバイパスする様子は以下のムービーで確認できます。

MacOS X GateKeeper Bypass - YouTube


Cavallarin氏は2019年2月22日にAppleに脆弱性を報告しましたが、Appleが期限内に修正を行わなかったことから、脆弱性を一般公開しました。

そしてIntegoのセキュリティ研究者は6月半ば、Cavallarin氏が明らかにした脆弱性を利用した攻撃の存在を初めて確認しました。Integoの研究者が発見した攻撃はZIPファイルではなくディスクイメージファイルを利用したもので、実際の攻撃というよりはテストとして実施されたものだと見られています。研究者は「Cavallarin氏の方法がディスクファイルイメージでも機能するかどうかを確認するための実験を行っていたようだ」と述べています。

by Jay Wennington

6月6日にVirusTotalにアップロードされた4つのファイルはNFSサーバー上に存在する1つのソフトウェアにリンクされており、Gatekeeperの脆弱性を利用するものであったものの、実際には悪意あるソフトウェアをダウンロードするようにはなっていなかったとのこと。一方で、「ファイルの1つはApple Developer IDの署名があり、これはOSX/Linkerのディスクイメージが『OSX/Surfbuyer』というアドウェアの開発者によって手がけられたことを意味します」と研究者は述べています。

研究者は「Appleがこの問題を修正するまで、ネットワーク管理者はグローバルIPアドレスのNFS通信をブロックした方がよい」と述べており、一般家庭のユーザーには「差出人が不明だったり、信頼できないメールの添付ファイルを開かないように」と呼びかけました。

この記事のタイトルとURLをコピーする

・関連記事
macOSカーネルに重大な脆弱性を発見したとGoogleのゼロデイ攻撃対策チームが発表 - GIGAZINE

リンクを踏むだけでiPhoneの全情報を奪われるゼロデイ攻撃が発覚、「iOS 9.3.5」適用で対策可能 - GIGAZINE

Macユーザーを標的にしたマルウェアがダークウェブに出回っている - GIGAZINE

米海軍がゼロデイ攻撃を仕掛けるためにApple・Microsoft・Adobeなど市販ソフトの脆弱性を募集していたことが発覚 - GIGAZINE

Googleの脆弱性発見チーム「Project Zero」は「ベンダーへの脆弱性報告」に頭を悩ませている - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.