マイクロソフト、Apple SIPを回避していた致命的なmacOS「Migraine」エクスプロイトを発見

知っておくべきこと

• Microsoft は、Mac ユーザーのシステム整合性保護に影響を及ぼす「Migraine」と呼ばれる新たな脆弱性キャンペーンを特定しました。
• 攻撃者はこれを悪用して SIP をバイパスし、ユーザーのデバイスにアクセスして、悪意のあるソフトウェアやルートキットにさらしました。
• AppleはMicrosoftと協力して、この問題を修正するソフトウェアアップデートをリリースした。 

5月、MicrosoftはMacユーザーに影響を与える「Migraine」と呼ばれる新たな脆弱性を発見し、Appleに報告しました。その後の調査で、ハッカーがこれを悪用してシステム整合性保護（SIP）を回避し、これらのデバイスに自動的にアクセスし、「デバイス上で任意の操作を実行」できることが分かりました。

システム整合性保護（SIP）についてご存じない方のために説明すると、これは悪意のある攻撃から保護するためのセキュリティ機能です。macOS Yosemiteのリリース時にMacデバイスに初めて搭載されたこの機能は、ルートユーザーアカウントを制限し、macOSの保護された部分でユーザーが実行できる操作を制限することで機能します。

これを踏まえると、セキュリティ機能のバイパスは、攻撃者がこの機会を利用してデバイスにマルウェアを拡散させる可能性があるため、大きな被害をもたらす可能性があります。例えば、永続的なマルウェアを作成したり、ルートキットをインストールしたりする可能性があります。Microsoftはさらに、攻撃者がAppleの移行アシスタントを悪用していたと詳細を述べています。

Macデバイスの他の多くの機能とは異なり、このツールはルートアクセスが制限されていないため、ファイルの転送は不可能です。この脆弱性を悪用することで、攻撃者はmacOSのSIP機能を回避できます。移行アシスタントアプリはユーザー設定時に利用可能になるため、攻撃者はまずデバイスへのローカルアクセスを取得する必要があります。

「Migraine」セキュリティ脆弱性により、攻撃者がシステム整合性保護テクノロジで保護されたファイルを簡単に作成し、それを使用して同じセキュリティ対策を回避できる状況が発生します。これにより、検出が極めて困難になり、回避が容易になります。

幸いなことに、Apple は 5 月 18 日にユーザーに出荷されたソフトウェア アップデート (macOS 13.4) を通じてこの問題 (CVE-2023-32369) を解決しました。したがって、デバイスを最新のアップデートで実行するように更新していれば安全です。