「OS Xに採用されているGatekeeperやXProtectは簡単にバイパスすることが可能」OS X 10.10.3でもrootpipe脆弱性を再現したPatrickさんが指摘。

　「AppleがOS Xに採用されているセキュリティツールGatekeeperやXProtectは簡単にバイパスすることが可能」だとセキュリティ研究者のPatrickさんが指摘しているそうです。詳細は以下から。

　4月20~24日にかけてSan Franciscoで開かれたセキュリティ関係のカンファレンス”RSA Conference 2015(@IT)”において、元NASA, NSA, VRLで脆弱性の解析を行い、現在脆弱性チェックサービスSynackのR&D部門でディレクターを務め、OS X 10.10.3でもrootpipe脆弱性を再現できる「Phoenix」を作り上げたPatrick Wardle(@patrickwardle)さんが「AppleのGatekeeperやXProtectは簡単にバイパスすることが可能」だという資料を公開し話題になっているそうです。

　ZDNetやKaspersky LabのBlog”Threatpost“によるとPatrickさんは「攻撃者がMacのセキュリティーツール（GatekeeperとXProtect）をバイパスして攻撃を仕掛けることは簡単な事だ」として以下の点を指摘しています。

“It’s trivial for any attacker to bypass the security tools on Macs,” said Wardle, according to ThreatPost. “If Macs were totally secure, I wouldn’t be here talking.”

Those two security features, Gatekeeper and XProtect, were added in the more recent versions of OS X in response to a rising threat of malware aimed at the alternative operating system.
[Apple security features can be easily bypassed, says researcher – ZDNet]

Gatekeeperについて

　GatekeeperはAppleがOS X 10.8 Mountain Lionから採用したセキュリティーツールで、システム環境設定の[セキュリティとプライバシー]にある「Mac App Store（と確認済の開発者）からのアプリケーションを許可」に設定しておけば、危険なアプリを制限できるという機能ですが、

Gatekeeper, added in OS X 10.8 “Mountain Lion,” restricts which apps can be opened and run on a computer. Most have it set to apps verified through the Apple App Store, or from verified developers.

[Apple security features can be easily bypassed, says researcher – ZDNet]

　Patrickさんは「Gatekeeperはアプリ内の余分なコンテンツを検証しないため、Appleが許可したアプリが実行され、そのアプリが外部コンテンツを読み込む場合、その外部コンテンツはGatekeeperをバイパスできる」として、検証されていないダイナミックライブラリ”dylib”が読み込み可能だったと発表しており、

（スライドはexternal.dylibが検証されず、hijacked.dylibがロードされています）

“Gatekeeper doesn’t verify an extra content in the apps. So if I can find an Apple-approved app and get it to load external content, when the user runs it, it will bypass Gatekeeper,” Wardle said in a talk at the RSA Conference here Thursday. “It only verifies the app bundle.”

[Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost]

　この仕様はOS X 10.10.3 Yosemiteでも変わっていないと指摘しています。

XProtectについて

　XProtectはAppleがOS X 10.6 Snow Lepardから導入したMalware検出システムで、危険なアプリやプラグインをブロックする機能がありますが、

XProtect, a rudimentary malware scanner for the Mac introduced even earlier in OS X 10.6 “Snow Leopard,” can block certain apps and plugins from running if there are known vulnerabilities.

[Apple security features can be easily bypassed, says researcher – ZDNet]

　Patrickさんによると「XProtectはGatekeeperをバイパスするのと同じぐらい簡単で、(XProtectはMalwareのハッシュ値を見てブロックするかどうか判断するため）Malwareの一部分を変更し再コンパイルすることでハッシュ値が変更されるため、そのMalwareはMacで実行可能になる」そうで、名前を変更するだけでもハッシュ値が変更されるためXProtectをバイパス可能だと指摘しています。

Getting past XProtect turns out to be just as simple as bypassing Gatekeeper. Wardle found that by simply recompiling a known piece of OS X malware, which changes the hash, he could get the malware past XProtect and execute it on the machine. Even simpler, he could just change the name of the malware, which also lets it sneak in under the fence.

[Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost]

　Patrickさんはこれらの方法で自分が作成したMalwareがXProtectをバイパスできる事を確認した上で、サードパーティ製アンチウィルスアプリでの検出チェックも行ったようですが、Norton,Trend Micro, Kasperskey, Integoなど全てのアプリが検出に失敗したようです。

　Patrickさんが公開した資料にはログインからkexts, Launch Daemonsなどさらに”Low-Level”での脆弱性についても解説しているので興味のある方は関連リンクからどうぞ。

関連リンク：
・Malware Persistence on OS X Yosemite(*PDF) – Patrick Wardle

・Apple security features can be easily bypassed, says researcher – ZDNet

・Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost

トレンドマイクロ ウイルスバスター クラウド 3年版 ダウンロード版 Mac版 (最新・3台版) [Software Download]

トレンドマイクロ