サイトアイコン 小龍茶館

Macのゲートキーパーセキュリティ機能に欠陥、最新macOS 10.14.5でも対処されず

セキュリティ研究者のフィリッポ・カバラリン(Filippo Cavallarin)氏は、macOSのゲートキーパー(Gatekeeper)セキュリティ機能を回避する方法があることを公表しました。先週のmacOS 10.14.5リリースの時点では、このバイパス方法はAppleによって対処されていないため、この方法が使える状態であることになります。

macOS 10.14.5のGatekeeper(ゲートキーパー)。最新版にも脆弱性が潜んでいるとは。。
ゲートキーパーとは、ダウンロードした直後にアプリケーションを検証するmacOS標準搭載のセキュリティツールです。これにより、ユーザーの同意なしにアプリケーションが実行されるのを防ぐことができます。ユーザーがMac App StoreではないところからアプリをダウンロードするとゲートキーパーがそのアプリのコードがAppleによって署名されているかどうかを確認します。そしてコードが署名されていない場合、ユーザーが直接許可を与えない限りはアプリは開かないことになっています。

しかし、カバラリン氏は自分のブログで、ゲートキーパーの機能を完全にバイパスし回避できる方法があると書いています。現状では、ゲートキーパーは外付けドライブとネットワーク共有ドライブやフォルダを「安全な場所」と見なします。つまり、これらの場所に含まれるすべてのアプリケーションは、コードを再確認することなく実行できるのです。

そしてカバラリン氏はその仕組みを利用することで、ユーザーが「簡単に」ネットワーク共有ドライブのマウントに騙されてしまい、そのフォルダ内のすべてのものがゲートキーパーを通過できてしまうことを説明しています。

最初に使う機能はautomount(別名autofs)で、これを使うとユーザーは “特別な”パス、この場合は “/ net /”で始まるパスにアクセスするだけでネットワーク共有を自動的にマウントできるのです。

例えば、 ‘ls /net/evil-attacker.com/sharedfolder/’と指定すると、macOSはNFSを使用してリモートホスト(evil-attacker.com)上の ‘sharedfolder’の内容を読み取ります(lsはフォルダやファイルのリストを取得するコマンド)。

2つ目に使う機能は、zipアーカイブに任意の場所(自動マウントエントリを含む)を指すシンボリックリンクを含めることができ、zipファイルの解凍をするmacOS上のソフトウェアは、作成前にシンボリックリンクのチェックを行わないというものです。

これがどのように機能するかというと。。

このエクスプロイト(脆弱性攻撃ツール)がどのように機能するかをよりよく理解するために、次のシナリオを考えてみましょう。攻撃者は自分が制御するオートマウントエンドポイントへのシンボリックリンクを含むzipファイル(アーカイブ)を作成し、それを被害者向けに送信します。

被害者は悪意のあるアーカイブをダウンロードし、それを解凍することで、知らないうちにシンボリックリンクをたどってしまうことになります。

これで、被害者は攻撃者によって制御されているにも関わらずゲートキーパーによって信頼されている場所にいることになるため、攻撃者が制御した実行可能ファイルを警告なしに実行されてしまう可能性があるのです。MacのFinderの設計(例えば.app拡張子を隠す、タイトルバーからフルパスを隠す)は、この技術を非常に効果的にして見つけにくくします。

カバラリン氏は、今年2月22日にAppleにこの欠陥を知らせたところ、Appleは先週のmacOS 10.14.5アップデートでそれに対処することになっていたということです。しかし、結局macOS 10.14.5リリース時点では、この脆弱性が修正されないままでした。またカバラリン氏はAppleが彼の電子メールへの応答を停止したとしています。

そしてカバラリン氏がAppleに与えた90日の猶予期間が経過したため、カバラリン氏は本日、今回のmacOSゲートキーパー機能欠陥内容公表に踏み切ったということです。

カバラリン氏は、このmacOSのゲートキーパー機能の欠陥を用いて、実際に攻撃を起こっている動画デモを公開しています。結構簡単ですね。。

Appleは早急にこの欠陥に向き合い、対処すべきではないでしょうか。

記事は以上です。

(記事情報元:9to5Mac

モバイルバージョンを終了