2019年06月26日 12時30分 セキュリティ

macOSのマルウェア対策機能をバイパスしたゼロデイ攻撃が「テスト中」であることをセキュリティ研究者が報告

by Daniel Korpai



macOSのセキュリティ機能「Gatekeeper」の脆弱性を利用して何者かが「OSX/Linker」と呼ばれるマルウェアでゼロデイ攻撃のテストをしていることを研究者が発見しました。Appleはこの脆弱性についての報告を受けていますが、記事作成時点で修正が行われてないため、ネットワーク管理者や一般ユーザーへの注意が呼びかけられています。



OSX/Linker: New Mac malware attempts zero-day Gatekeeper bypass | The Mac Security Blog

https://www.intego.com/mac-security-blog/osx-linker-new-mac-malware-attempts-zero-day-gatekeeper-bypass/



New Mac Malware Sails Right Through Apple’s Defenses

https://www.tomsguide.com/us/zero-day-flaw-macos,news-30440.html



New Mac Malware Exploits GateKeeper Bypass Bug that Apple Left Unpatched

https://thehackernews.com/2019/06/macos-malware-gatekeeper.html



macOSではマルウェア対策機能としてGatekeeperというテクノロジーを採用しています。GatekeeperはmacOS向けのアプリについて実行を許可する前に証明書を確認するといったさまざまなチェックを行うもの。Gatekeeperはインターネットからダウンロードしたアプリの他、直接インストールしたアプリにも適用されます。





しかし、2019年5月24日に「Mac OS XにはGatekeeperをバイパスできる脆弱性がある」という事実をセキュリティ研究者のFilippo Cavallarin氏が発見しました。Cavallarin氏によると、macOSはインターネットからダウンロードしたアプリとネットワークで共有されたアプリとで異なる扱いをし、ネットワーク共有ディレクトリについては「チェックを必要としない安全な場所」と認識しているとのこと。そのため攻撃者が何らかの方法でマルウェアを含む場所をネットワーク共有としてマウントさせれば、ターゲットのmacOSに送りこむことが可能です。



この1つの方法としてCavallarin氏は、「NFSサーバー上で制御するアプリのシンボリックリンクを作成し、それをZIPファイルに含め、ターゲットにZIPファイルをダウンロードさせること」を挙げています。macOSはZIPファイルの解凍処理時にシンボリックリンクのアクセス先をチェックしないため、Gatekeeperのチェックなしにインストールできる状態を作り出せるそうです。



Gatekeeperをバイパスする様子は以下のムービーで確認できます。



MacOS X GateKeeper Bypass - YouTube





Cavallarin氏は2019年2月22日にAppleに脆弱性を報告しましたが、Appleが期限内に修正を行わなかったことから、脆弱性を一般公開しました。



そしてIntegoのセキュリティ研究者は6月半ば、Cavallarin氏が明らかにした脆弱性を利用した攻撃の存在を初めて確認しました。Integoの研究者が発見した攻撃はZIPファイルではなくディスクイメージファイルを利用したもので、実際の攻撃というよりはテストとして実施されたものだと見られています。研究者は「Cavallarin氏の方法がディスクファイルイメージでも機能するかどうかを確認するための実験を行っていたようだ」と述べています。



by Jay Wennington



6月6日にVirusTotalにアップロードされた4つのファイルはNFSサーバー上に存在する1つのソフトウェアにリンクされており、Gatekeeperの脆弱性を利用するものであったものの、実際には悪意あるソフトウェアをダウンロードするようにはなっていなかったとのこと。一方で、「ファイルの1つはApple Developer IDの署名があり、これはOSX/Linkerのディスクイメージが『OSX/Surfbuyer』というアドウェアの開発者によって手がけられたことを意味します」と研究者は述べています。



研究者は「Appleがこの問題を修正するまで、ネットワーク管理者はグローバルIPアドレスのNFS通信をブロックした方がよい」と述べており、一般家庭のユーザーには「差出人が不明だったり、信頼できないメールの添付ファイルを開かないように」と呼びかけました。