「OS Xに採用されているGatekeeperやXProtectは簡単にバイパスすることが可能」OS X 10.10.3でもrootpipe脆弱性を再現したPatrickさんが指摘。

記事内に広告が含まれています。
スポンサーリンク

 「AppleがOS Xに採用されているセキュリティツールGatekeeperやXProtectは簡単にバイパスすることが可能」だとセキュリティ研究者のPatrickさんが指摘しているそうです。詳細は以下から。


Malware-Persistence-on-OS-X-Yosemite


 4月20~24日にかけてSan Franciscoで開かれたセキュリティ関係のカンファレンス”RSA Conference 2015(@IT)”において、元NASA, NSA, VRLで脆弱性の解析を行い、現在脆弱性チェックサービスSynackのR&D部門でディレクターを務め、OS X 10.10.3でもrootpipe脆弱性を再現できる「Phoenix」を作り上げたPatrick Wardle(@patrickwardle)さんが「AppleのGatekeeperやXProtectは簡単にバイパスすることが可能」だという資料を公開し話題になっているそうです。


 ZDNetやKaspersky LabのBlog”Threatpost“によるとPatrickさんは「攻撃者がMacのセキュリティーツール(GatekeeperとXProtect)をバイパスして攻撃を仕掛けることは簡単な事だ」として以下の点を指摘しています。


GateKeeper-XProtect-Nope

“It’s trivial for any attacker to bypass the security tools on Macs,” said Wardle, according to ThreatPost. “If Macs were totally secure, I wouldn’t be here talking.”

Those two security features, Gatekeeper and XProtect, were added in the more recent versions of OS X in response to a rising threat of malware aimed at the alternative operating system.
[Apple security features can be easily bypassed, says researcher – ZDNet]

Gatekeeperについて

 GatekeeperはAppleがOS X 10.8 Mountain Lionから採用したセキュリティーツールで、システム環境設定の[セキュリティとプライバシー]にある「Mac App Store(と確認済の開発者)からのアプリケーションを許可」に設定しておけば、危険なアプリを制限できるという機能ですが、


OS-X-Securty-and-Privacy

Gatekeeper, added in OS X 10.8 “Mountain Lion,” restricts which apps can be opened and run on a computer. Most have it set to apps verified through the Apple App Store, or from verified developers.

[Apple security features can be easily bypassed, says researcher – ZDNet]

 Patrickさんは「Gatekeeperはアプリ内の余分なコンテンツを検証しないため、Appleが許可したアプリが実行され、そのアプリが外部コンテンツを読み込む場合、その外部コンテンツはGatekeeperをバイパスできる」として、検証されていないダイナミックライブラリ”dylib”が読み込み可能だったと発表しており、


Gatekeeper-Bypass-allowing-unverified-code

(スライドはexternal.dylibが検証されず、hijacked.dylibがロードされています)

“Gatekeeper doesn’t verify an extra content in the apps. So if I can find an Apple-approved app and get it to load external content, when the user runs it, it will bypass Gatekeeper,” Wardle said in a talk at the RSA Conference here Thursday. “It only verifies the app bundle.”

[Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost]

 この仕様はOS X 10.10.3 Yosemiteでも変わっていないと指摘しています。


XProtectについて

 XProtectはAppleがOS X 10.6 Snow Lepardから導入したMalware検出システムで、危険なアプリやプラグインをブロックする機能がありますが、


Apple-Update-Xprotect-for-iWorm-os-x-10-6-snow-leopard

XProtect, a rudimentary malware scanner for the Mac introduced even earlier in OS X 10.6 “Snow Leopard,” can block certain apps and plugins from running if there are known vulnerabilities.

[Apple security features can be easily bypassed, says researcher – ZDNet]

 Patrickさんによると「XProtectはGatekeeperをバイパスするのと同じぐらい簡単で、(XProtectはMalwareのハッシュ値を見てブロックするかどうか判断するため)Malwareの一部分を変更し再コンパイルすることでハッシュ値が変更されるため、そのMalwareはMacで実行可能になる」そうで、名前を変更するだけでもハッシュ値が変更されるためXProtectをバイパス可能だと指摘しています。


XProtect-Bypass-build-in-malware-system

Getting past XProtect turns out to be just as simple as bypassing Gatekeeper. Wardle found that by simply recompiling a known piece of OS X malware, which changes the hash, he could get the malware past XProtect and execute it on the machine. Even simpler, he could just change the name of the malware, which also lets it sneak in under the fence.

[Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost]

 Patrickさんはこれらの方法で自分が作成したMalwareがXProtectをバイパスできる事を確認した上で、サードパーティ製アンチウィルスアプリでの検出チェックも行ったようですが、Norton,Trend Micro, Kasperskey, Integoなど全てのアプリが検出に失敗したようです。


 Patrickさんが公開した資料にはログインからkexts, Launch Daemonsなどさらに”Low-Level”での脆弱性についても解説しているので興味のある方は関連リンクからどうぞ。

関連リンク:
Malware Persistence on OS X Yosemite(*PDF) – Patrick Wardle

Apple security features can be easily bypassed, says researcher – ZDNet

Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost

コメント

  1. Apple7743 より:

    ザルじゃねえか

  2. Apple7743 より:

    Mac大丈夫かあ???
    Appleさん、頼むで〜

  3. Apple7743 より:

    ワロタ
    仕込むの簡単だね

  4. Apple7743 より:

    Gatekeeperの方はまだしも、本物のアンチウイルスソフトまで騙されるようなものを通すな、つーのは無理な話じゃね?

  5. Apple7743 より:

    いいね!

  6. RonaldCah より:

    Organizations can compel their customers and employees to resolve disputes in arbitration proceedings bound not by state or federal law, but by religious edict.

タイトルとURLをコピーしました