複数ライセンス割引見積
問題 CVE-2024-44243 macOS の脆弱性

CVE-2024-44243 macOS の脆弱性

問題Mezoまで
翻訳内容:
日本語

Microsoft は、Apple macOS のセキュリティ脆弱性を明らかにしました。この脆弱性が悪用されると、ルートアクセス権を持つハッカーがシステム整合性保護 (SIP) を回避できる可能性があります。この欠陥により、サードパーティのカーネル拡張機能を通じて破損したカーネル ドライバーが不正にインストールされ、システムのセキュリティが著しく損なわれる可能性があります。

CVE-2024-44243 の詳細

CVE-2024-44243 として識別されたこの脆弱性は、CVSS の深刻度スコアが 5.5 で、中程度のリスクの問題として分類されています。Apple は先月、macOS Sequoia 15.2 アップデートでこの欠陥に対処しました。同社はこれを「構成の問題」と表現し、安全でないアプリケーションがファイルシステムの保護された領域を変更して、コアセキュリティ保護を実質的に弱める可能性があるとしています。

SIP をバイパスするリスク

システム整合性保護は「ルートレス」とも呼ばれ、重要なシステム コンポーネントへの不正な変更を防ぐために設計された、macOS の基本的なセキュリティ メカニズムです。SIP をバイパスすることで、攻撃者はルートキットなどの永続的な脅威をインストールし、Apple の透明性、同意、制御 (TCC) フレームワークを回避して、さらなる悪用への扉を開くことができます。

SIP が macOS を保護する方法

SIP は、/System、/usr、/bin、/sbin、/var などの重要なディレクトリに対して厳格なアクセス制御を適用することで機能します。これらの領域への変更は、ソフトウェア アップデートやシステム インストーラーなど、特定の権限を持つ Apple 署名のプロセスのみに制限されます。この保護により、ユーザーと攻撃者の両方が macOS のコア機能を改ざんするのを防ぎます。

SIP の権利: 諸刃の剣

Apple は、変更を制御する 2 つの主要な SIP 権限を提供しています。

  • com.apple.rootless.install : 特定のプロセスに対して SIP のファイル システム制限をバイパスする権限を付与します。
  • com.apple.rootless.install.heritable:バイパス権限をプロセスとそのすべての子プロセスに拡張します。

これらの権限を悪用すると、攻撃者が SIP 保護を無効にする可能性があり、重大なセキュリティ上の懸念となります。

エクスプロイト: 攻撃者が SIP をバイパスする方法

新たに発見された SIP バイパスは、CVE-2021-30892 (Shrootless) や CVE-2023-32369 (Migraine) などの過去のエクスプロイトと同様に、macOS の Storage Kit デーモン (storagekitd) 内の「com.apple.rootless.install.heritable」権限を活用します。

攻撃者は、検証なしで任意のプロセスを起動できる storagekitd の機能を悪用して、脅威となるファイル システム バンドルを /Library/Filesystems に導入する可能性があります。これにより、macOS のディスク ユーティリティにリンクされたバイナリを上書きし、ディスク修復などの操作中に攻撃をトリガーできます。さらに、ルート ユーザーはこの欠陥を悪用して不正なコードを実行し、SIP 保護を完全に回避する可能性があります。

マイクロソフトの継続的なセキュリティ調査結果

この発見は、透明性、同意、制御 (TCC) フレームワークにおける別の macOS 脆弱性 (CVE-2024-44133、別名 HM Surf) に関する Microsoft の以前の報告に続くものです。同じ CVSS スコア 5.5 のこの欠陥は、機密性の高いユーザー データにアクセスするために悪用される可能性があります。macOS のセキュリティ対策が繰り返し標的にされていることから、継続的な警戒とパッチ適用の必要性が浮き彫りになっています。

全体像: SIP が重要な理由

Apple は、サードパーティのカーネル拡張機能を制限することで、macOS の安定性とセキュリティを強化しています。ただし、SIP をバイパスするとこれらの保護が損なわれ、システムが高度な脅威に対して脆弱になります。SIP が無効になっていると、セキュリティ ソリューションの可視性も失われ、攻撃者が気付かれずにセキュリティ ツールを操作したり無効にしたりできるようになります。

攻撃者にとっての主要なターゲット

SIP は、セキュリティ研究者や脅威アクターにとって依然として価値の高いターゲットです。Apple のセキュリティ防御の多くは SIP を回避できないことを前提としているため、この脆弱性を悪用することは大きな進歩となります。攻撃が成功すると、ハッカーは保護されたディレクトリに悪意のあるファイルを配置したり、セキュリティ ツールからアクティビティを隠したり、macOS のセキュリティ プロンプトを完全に回避したりできるようになります。

保護の維持: 更新が不可欠な理由

攻撃者はソーシャル エンジニアリングの手法を使ってユーザーを操作し、不要な権限を付与させることが知られています。しかし、SIP を悪用すれば、ユーザーの操作がまったく不要になる可能性があります。macOS のセキュリティにおける SIP の基本的な役割を考えると、このような脆弱性に対する最善の防御策は、macOS を常に最新の状態に保つことです。Apple のセキュリティ パッチがリリースされたらすぐにインストールすることが、攻撃者がこれらの欠陥を悪用するのを防ぐ最も効果的な方法です。

読み込んでいます...