black hat
0-day

Macを完全なガラクタにしてしまうゼロデイエクスプロイトが発見された

次の記事

Tesla、調整後売上12億ドルで予測を超えるも、出荷予測下方修正で株価は7%安

またまたBlack Hatが喜びそうな話題。新しいゼロデイエクスプロイトが見つかり、われわれが日常的に使っているコンピュータ製品の弱点を、あらためて思い知らされている。今度のはXeno KovahとTrammell HudsonがOS Xに見つけた深刻なゼロデイ脆弱性で、マルウェアの作者はこれを悪用して、Macを完全にフリーズさせることができる。その際、Macを工場出荷時の状態に初期化することもできない。AppleはThe Guardian紙に、今YosemiteとEl Capitanの両方で対策中だ、と語っている。

このゼロデイエクスプロイトはThunderstrike 2と呼ばれ、接続されているThunderboltアクセサリ…Ethernetアダプタや外付けハードディスクなどを利用してMacのファームウェアを攻撃する。そのマルウェアはフィッシングメールや悪質なWebサイトからコードを受け取り、Thunderboltアクセサリを見つけるとそのオプションROMをフラッシュする。

感染したThunderboltアクセサリが接続された状態でMacをリブートすると、OS Xをブートする前にEFIがオプションROMを実行する。このオプションROMは感染しているから悪質なコードを実行してEFIも感染させ、MacのファームウェアがOS Xのブートを拒絶し、Macを何もできない金属片にしてしまう。ファームウェアがやられてしまったら、OS Xの立ち上げも、ファームウェアのアップデートも、悪質なコードの除去も、すべてできない。

このゼロデイ脆弱性の強みは、Thunderboltアクセサリがずっと感染状態であることだ。だからたとえばEthernetアダプタを新しいMacに接続したら、そのMacもリブート時に感染する。インターネット上で拡散するマルウェアほど有害ではないが、会社などでMacを使ってる場合は深刻な被害になることもある。

Stefan Esserが先月見つけたもうひとつのエクスプロイトは、DYLDと呼ばれる。こちらは犯人がroot特権を持ってしまうから、ハードディスクをフォーマットされてしまったり、あるいはお金にかかわる被害が生じたりすることも、ありえる。

Malwarebytesが見つけたDYLDの悪用例は、あるアドウェア作者によるもので、rootパーミッションを取得したらスクリプトを実行して大量のアプリケーションをインストールする…それらは、アドウェアのVSearchやGenieo、ジャンクウェアのMacKeeperなどだ。また、Download Shuttleをインストールせよ、というプロンプトが無限回出るので、Mac App Storeを利用できなくなる。

AppleはEl CapitanのベータではDYLDをフィクスしたが、今のYosemiteはまだだ。このエクスプロイトを悪用するアプリケーションをマルウェアのブラックリストに加えたが、それは一時的な安心材料でしかない。OS X YosemiteもOS X El Capitanベータも、いずれはセキュリティパッチが発表されるだろう。でも当面は、何かをダウンロードするとき用心すること、そしてMacをリブートする前には必ず、すべてのThunderboltデバイスを外すことが重要だ。万一に備えて。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa