Microsoft Threat Intelligence は木曜日、攻撃者がオペレーティング システムの透明性、同意、および制御 (TCC) テクノロジをバイパスし、ユーザーの機密データに不正アクセスできる可能性がある macOS の脆弱性を発見したことを明らかにしました。
この macOS の脆弱性は CVE-2024-44133 として特定され、「HM Surf」と呼ばれています。ご存じない方のために説明すると、TCC は、ユーザーの事前の同意や知識なしに、アプリが位置情報サービス、カメラ、マイク、ダウンロード ディレクトリなどを含むユーザーの個人情報にアクセスするのを防ぐテクノロジーです。
ただし、HM Surf の脆弱性には、Safari ブラウザ ディレクトリの TCC 保護の削除と、そのディレクトリ内の設定ファイルの変更が含まれます。
これにより、攻撃者は、ユーザーの同意なしに、閲覧履歴、デバイスのカメラ、マイク、位置情報などの機密ユーザー データに不正にアクセスできる可能性があります。
Microsoft Threat Intelligence レポートによると、バイパスは ~/Library/Safari ディレクトリ内の機密ファイルに依存しています。
脅威アクターは、ユーザーの実際のホーム ディレクトリ (/Users/$USER/Library/Safari/PerSitePreferences.db など) にある機密ファイルを変更することでセキュリティ制御を置き換え、Safari の資格と TCC を悪用する可能性があります。
「ディレクトリから任意のファイルを読み取ることで、攻撃者は非常に有用な情報 (ユーザーの閲覧履歴など) を収集することができます」と報告書は述べています。述べた、「ディレクトリに書き込むと、たとえば PerSitePreferences.db をオーバーライドすることで TCC をバイパスできます。」と付け加えました。
レドモンドの大手企業はさらに、Microsoft Defender for Endpoint の動作監視保護により、この脆弱性を悪用する可能性がある、広く普及している macOS 脅威ファミリーである既知の macOS アドウェア Adload に関連する不審なアクティビティが観察されたと指摘しました。
「Microsoft Defender for Endpoint は、HM Surf またはその他の方法による設定ファイルの異常な変更を含む、CVE-2024-44133 の悪用を検出してブロックします。」レポートが追加されました。
Microsoft は、Microsoft Security Vulnerability Research (MSVR) を介した調整された脆弱性開示 (CVD) を通じて調査結果を Apple と共有しました。この脆弱性は、2024 年 9 月 16 日に macOS Sequoia の最新のセキュリティ アップデートの一環として Apple によって修正されました。
現在、TCC が提供する新しい保護機能を使用しているのは Apple の Safari ブラウザだけです。 Microsoft は、Google や Mozilla などの他の主要なブラウザ ベンダーと協力して、ローカル構成ファイルを強化する利点をさらに調査しています。
同社は、macOS ユーザーに対し、この脆弱性から保護するために Apple の最新のセキュリティ アップデートをできるだけ早く適用することを強く推奨しています。
「マイクロソフトは、macOS やその他の非 Windows デバイスに影響を与える可能性のある新たな脆弱性や攻撃者のテクニックを発見するために、脅威の状況を監視し続けています。クロスプラットフォームの脅威が増加し続ける中、脆弱性の発見に対する協調的な対応やその他の形式の脅威インテリジェンスの共有は、ユーザーが使用しているプラットフォームやデバイスに関係なく、ユーザーのコンピューティング エクスペリエンスを保護する保護テクノロジーを強化するのに役立つでしょう」とレポートは結論付けています。
