ソースコードのセキュリティを重視し、国内外の最新情報を収集!
コンパイル: コードガード
Mac に組み込まれているマルウェア検出ツールの 1 つである「macOS バックグラウンド タスク管理」が、私たちが思っているほどうまく機能していない可能性があります。サンフランシスコで開催されたデフコン・ハッキング・カンファレンスで、ベテランのMacセキュリティ研究者パトリック・ワードル氏は、Appleが新たに追加した監視ツールをバイパスして無効にするために使用できるメカニズムの複数の脆弱性を共有した。
マルウェアは本質的には Web ブラウザやチャット アプリケーションのような単なるソフトウェアであるため、現在、コンピュータ上のマルウェアを 100% の精度で検出する絶対確実な方法はありません。正規のプログラムと違法なプログラムを区別することは困難であるため、Microsoft や Apple などのオペレーティング システム ベンダー、およびサードパーティのセキュリティ会社は、さまざまな新しいプログラムでの潜在的なマルウェアの動作を特定できる新しい検出メカニズムとツールの開発に熱心に取り組んできました。方法。
Apple のバックグラウンド タスク管理ツールは、ソフトウェアの「永続性」に重点を置いています。マルウェアは、存続期間が短く、デバイス上で短時間だけ実行されるか、コンピューターが再起動されるまで実行されるように設計されている場合があります。しかし、マルウェアはより深く構築され、コンピューターの電源がオフになって再起動された場合でもターゲットに「存続」する可能性があります。正規のソフトウェアの多くは、ユーザーがデバイスの電源を入れてソフトウェアを終了するたびに、すべてのアプリ、データ、設定が表示されるように永続性を必要とします。ただし、ソフトウェアが突然永続化するようになった場合は、マルウェアの兆候である可能性があります。
この目的のため、Apple は 2022 年 10 月にバックグラウンド タスク マネージャーを macOS Ventura に追加しました。これは、「永続的なイベント」が発生したときにユーザーまたはシステム上で実行されているサードパーティのセキュリティ ツールに通知を直接送信します。このようにして、新しいアプリがダウンロードされてインストールされたばかりであることをユーザーが理解している場合は、メッセージを無視できますが、そうでない場合、ユーザーは侵害された可能性があると想定できます。
「一部のソフトウェアが自動的にインストールされ続ける場合に通知するツールがあるべきだ。Appleがそれを追加したのは良いことだが、その実装があまりにも貧弱なので、少し洗練されたマルウェアであれば簡単に監視をすり抜けることができる」とワードル氏は述べた。
アップルはまだコメントしていない。
無料のオープンソース macOS セキュリティ ツールを提供する Objective-See Foundation の一環として、Wardle は何年も前に同様の永続イベント通知ツール BlockBlock を提供しました。同氏は、「私は同様のツールを作成したことがあり、自分のツールの課題を知っていたので、Apple のツールやフレームワークにも同じように克服すべき問題があるのではないかと疑問に思いましたが、実際にそうなりました。マルウェアの永続性は依然として完全に達成できます。目に見えない方法。」
バックグラウンド タスク マネージャーが最初にリリースされたとき、Wardle は永続的なイベント通知が失敗する原因となる可能性がある、ツール内のより根本的な問題を発見しました。彼は問題を Apple に通知し、Apple はバグを修正しましたが、より深い問題は特定できませんでした。
「私たちは何度もやり取りを繰り返し、最終的にアップルはそれを修正しましたが、それは崩れかけた飛行機にダクトテープを貼るようなもので、彼らはそれが大変な作業であることを認識していませんでした」とワードル氏は語った。
Wardle が共有するバイパス方法の 1 つは、ターゲット デバイスへの root アクセスを必要とするため、ユーザーが永続的な警告を受信できないようにする前に、攻撃者は完全な制御を必要とします。ハッカーがターゲットへのこのアクセスを取得し、システムにできるだけ多くのマルウェアをインストールするために通知をブロックする可能性があるため、この潜在的な攻撃に関連するバグを修正することが重要です。
さらに憂慮すべきは、バックグラウンド タスク マネージャーがユーザーやセキュリティ監視製品に送信するはずの永続的な通知を無効にするために root アクセスを必要としない 2 つのパスも発見したことです。エクスプロイトの 1 つは、警告システムがコンピューターのオペレーティング システムの中核であるカーネルと通信する方法のバグを悪用します。もう 1 つは、ユーザー (深いシステム権限を持つユーザーであっても) がプロセスをスリープ状態にできる機能を悪用します。Wardle は、この機能を使用すると、通知がユーザーに届く前に永続的な通知を中断できることを発見しました。
Wardle 氏は、最初に Apple に通知せずにこれらの脆弱性を Defcon で公開した理由は、ツールの全体的な品質をより包括的に向上させるために、すでに Apple にこれらの問題を通知していたためであると指摘しました。同氏はまた、監視ツールをバイパスすると、macOS がこの機能がリリースされる 1 年前の状態に戻ってしまうことにも言及しました。しかし同氏は、Appleがリリースを急いでいるように見えたり、より多くのテストが必要な監視ツールをリリースしたりすることは、ユーザーやセキュリティベンダーに誤った安全感を与えるため問題があると述べた。
Code Guard トライアル アドレス: https://codesafe.qianxin.com
オープンソース ガードのトライアル アドレス: https://oss.qianxin.com
推奨読書
新しい Windows?! Apple、悪用された新しい 0day を修正
Apple従業員がCTFコンテストでGoogleの0dayシークレットを発見したが、他人が入手した1万ドルの報奨金を報告しなかった
Microsoft、Apple の SIP ルート制限を回避する macOS の脆弱性を発見
元のリンク
https://arstechnica.com/security/2023/08/researcher-finds-easy-exploits-for-apples-malware-flagging-tool/
タイトル画像: Pixabayライセンス
この記事は Qi Anxin によって編集されたものであり、Qi Anxin の見解を表すものではありません。「Qi Anxin Code Guard https://codesafe.qianxin.com から転載」と明記してください。
Qi Anxin コードガード (コードセーフ)
国内初のソフトウェア開発セキュリティに特化した製品群。
良いと感じたら、「見る」または「いいね」をクリックしてください〜