macOSに備わる複数のセキュリティ層を突破してすべてのファイルを読み取ることができる脆弱性が発見される

Appleが開発するmacOSに用意されている複数のセキュリティレイヤーを突破し、Macに存在するすべてのファイルを読み取ったりウェブカメラを制御したりできる脆弱性を、オランダに拠点を置くサイバーセキュリティ企業・Computestの研究部門であるSector 7の研究者が発見しました。

Process injection: breaking all macOS security layers with a single vulnerability · Sector 7
https://sector7.computest.nl/post/2022-08-process-injection-breaking-all-macos-security-layers-with-a-single-vulnerability/

A Single Flaw Broke Every Layer of Security in MacOS | WIRED UK
https://www.wired.co.uk/article/macos-process-injection-flaw

Sector 7の研究者が発見したmacOSの脆弱性は、macOSに搭載されている「再起動後のログイン時に前回開いていたウインドウを再度開く」という機能に関連するもの。Macでは再起動やシャットダウン時に「再ログイン時にウインドウを再度開く」というオプションが表示され、チェックを入れると前回開いていたアプリやウインドウを自動で表示してくれるほか、アプリで保存されなかったドキュメントを復元することも可能です。この機能は必ずしもシャットダウン時だけでなく、バックグラウンドで動作するアプリの処理を一時停止して消費電力を抑えるApp Napというプロセスでも利用されています。

macOSはウインドウやアプリを記録したファイルを作成し、起動した際にこれらのファイルを読み取って復元しています。ところが、これらのファイルに含まれているシリアル化されたオブジェクトを悪意のあるバージョンに差し替える「プロセスインジェクション」攻撃を用いることで、有害なコードを実行させることが可能だとのこと。

Sector 7はプロセスインジェクション攻撃を用いることで、macOSに搭載されているセキュリティ機能「サンドボックス」を回避することも可能であると示しました。サンドボックスは、悪意あるアプリケーションを実行しても影響を最小限にとどめられるようシステムリソースへのアクセスを制限する防御システムです。しかし、シャットダウンと起動時のファイル復元に乗じて悪意のあるコードを実行することで、サンドボックスをかいくぐって攻撃範囲を拡張できたことが報告されています。

また、特定の資格を持つアプリにコードを挿入することで特権昇格を実行できたほか、Mac上の機密ファイルにアクセスするのを防ぐシステム整合性保護もバイパスできたとSector 7は述べています。これにより、攻撃者は実質的にMac上のすべてのファイルを読み取ったり、ウェブカメラを制御したりすることが可能だったとのことです。

Sector 7のセキュリティ研究者であるThijs Alkemade氏は、「基本的には1つの脆弱性から3つの異なる攻撃範囲に適用できます」「特定のアプリケーションでプロセスインジェクションの脆弱性が見つかることはよくありますが、これほど普遍的に適用できるものを見つけるのは非常にまれです」と述べています。

Alkemade氏は2020年12月にこの脆弱性を発見し、バグ報奨金制度を通じてAppleに連絡しており、本人いわく「かなり良い」報奨金を得られたとのこと。Appleはこれらの欠陥を2回のアップデートで修正しているそうですが、macOS Montreyより古いmacOSでは依然として脆弱性が動作する可能性があると指摘されています。

なお、記事作成時点では発見された脆弱性が悪用された証拠は見つかっていませんが、今回の事例は攻撃者がOS全体を移動し、ますます多くのデータにアクセスできるようになる可能性を示しているとのことです。