CVE-2023-42931 検出: 簡単な特権昇格とルートアクセスを可能にする深刻なmacOS脆弱性

セキュリティ研究者は、ゲスト権限を含む無許可のユーザーが影響を受けたインスタンスに対して完全なrootアクセスを得ることを可能にする、複数のmacOSバージョンにおける重大な権限昇格脆弱性について警告しています。

CVE-2023-42931の攻撃試行を検出する

攻撃のボリュームと高度化が指数関数的に増加する中で、2024年の脅威の状況は昨年よりもさらに挑戦的になると予想されています。世界経済におけるサイバー攻撃のコスト は2024年末までに10.5兆米ドルに達すると見積もられています。 2023年に発見された新しいCVEが29,000件を超えることを考慮し、2024年には14.5%の増加が予測されるため、セキュリティ専門家は脅威を積極的に検出し、守るための高度なソリューションが必要です。

CVE-2023-42931の攻撃と関連する悪意のある活動をセキュリティ専門家が検出できるようにするため、SOC Prime Platform for collective cyber defenseは、公開されている概念実証（PoC）エクスプロイトに基づくキュレーションされたSigmaルールを提供しています。

CVE-2023-42931の可能性（MacOSの権限昇格）の攻撃試行（cmdline経由）

上述のルールは、23のSIEM、EDR、XDR、およびデータレイク技術に対応し、 MITRE ATT&CKフレームワーク v14にマッピングされています。

サイバー防御者は、SOCの効率を高め、脅威調査を円滑にするために、脆弱性エクスプロイト検出を目的とした全検出スタックに深く入り込むことができます。「 Explore Detections 」ボタンをクリックし、関連メタデータで強化されたSigmaルールの広範なコレクションを詳細に調べてください。具体的には、ルールはCTIリンク、ATT&CKの参照、分類の推奨、攻撃のタイムラインなどと一緒に提供されています。

Explore Detections

CVE-2023-42931解析

Yann Gascuelによる詳細な 解析 によると、CVE-2023-42931は、「diskutil」コマンドラインユーティリティが「-mountOptions」引数を介してマウントオプションを受け入れることに起因します。特に、ゲスト権限を有するものを含め、任意のローカルの脅威役者が特定のオプションでファイルシステムをマウントし、権限をrootに昇格させることができます。

具体的には、攻撃者はroot所有のファイルを任意のバイナリに変更し、setuidビットを追加し、ファイルシステムに diskutil -mountOptions パラメータを利用して、 ¨noowners¨ フラグを持たせることができます。結果として、ファイルが¨owners¨モードで再マウントされるときに権限昇格が発生します。

このルーチンは非常に簡単に見えますが、セキュリティ研究者は、macOSのモダンなディスク/ファイルシステムの階層構造と、カーネルレベルでのSystem Integrity Protection (SIP) の保護手段が、重要なシステムファイルの悪意のある変更を防ぐことを示しています。それでも、Yann Gascuelはこれらの保護を突破する作業中のエクスプロイト経路を考案しました。

CVE-2023-42931の脆弱性は、macOS Montereyの12.7.2以前、macOS Venturaの13.6.3以前、およびmacOS Sonomaの14.2以前に影響を与えています。欠陥がベンダーに報告された後、Appleは次のmacOSバージョンでパッチを発行しました。 Sonoma 14.2, Ventura 13.6.3、 Monterey 12.7.2. 

攻撃の高度化とボリュームの指数関数的な増加は、革新的な技術と集団のサイバー防御に支えられた防御者からの超高度な対応を要求しています。 Uncoder IOを使用開始し、新たに出現する脅威に対抗するための検出コードをより速く、より良く書くことを助けるオープンソースのIDEで、IOCのマッチングを簡素化し、複数のサイバーセキュリティ言語にオンザフライでルールを翻訳します。 GitHubでUncoderに貢献する ことにより、プロジェクトの進化を助け、業界全体でのコラボレーションを拡大させてください。