CVE-2024-23204 Detection: Exploitation of a Recently Patched Vulnerability in Apple Shortcuts App Can Lead to User Data Theft

Appleは、そのショートカットアプリに影響を与える悪名高いセキュリティギャップを修正しました。この深刻な欠陥は、攻撃者がユーザーの同意なしに機密情報を収集することを可能にします。発見されたゼロクリックのショートカットの脆弱性（CVE-2024-23204として追跡）は、ユーザープライバシーへのリスクを提起し、ユーザーの許可なしに攻撃者が侵害されたデバイス上の機密データにアクセスできるようにします。

CVE-2024-23204の攻撃検知

攻撃数とその洗練さが指数関数的に増加する中で、2024年の脅威の状況は昨年よりもさらに困難であると考えられています。 サイバー攻撃が世界経済に与えるコストは、 2024年末までに10.5兆ドルを超えると推定されています。2023年に発見された新しいCVEが29,000以上で、2024年には14.5％の増加が予測されていることを考慮すると、セキュリティ専門家は積極的に脅威を検出し防御するための高度なソリューションが求められています。

SOC Primeのコレクティブサイバー防御プラットフォームは、攻撃者のTTPを検出するための世界最大の動作ベースの検出アルゴリズムコレクションを提供し、SOCの運用を合理化するために設計された革新的な脅威ハンティングと検出エンジニアリングソリューションに支えられています。

CVE-2023-23204のエクスプロイトに関連する悪意のある活動を特定するために、Threat Detection MarketplaceはキュレーションされたSigmaルールを集約し、Appleのショートカットファイルのダウンロードを示すことで、注目されている脆弱性を利用しようとする試みを検出します。攻撃者はこの脆弱性を利用してフィッシングキャンペーンを開始し、被害者環境に初期アクセスを得る可能性があります。

CVE-2024-23204（ユーザーへプロンプトなしにMacOSの機密データを使用する）エクスプロイト試行の可能性（ファイルイベント経由）

上記のルールは、20のSIEM、EDR、XDR、およびデータレイクソリューションと互換性があり、MITRE ATT&CKフレームワークv14.1にマッピングされており、初期アクセス戦術とフィッシング（T1566）を主な技術として扱います。このルールは、CTIとATT&CKリファレンス、攻撃タイムラインなどの豊富なメタデータで強化されています。

CVEのエクスプロイトに対応したSigmaルールをさらにお探しのセキュリティ専門家は、 1,000以上のアルゴリズムを持つ専用の検出スタックに深堀することができ、 検出の探索 ボタンを下でクリックしてください。

検出の探索

CVE-2024-23204の分析

サイバーセキュリティ研究者の最近の発見は、AppleのショートカットアプリにCVE-2024-23204として知られる脆弱性があることを明らかにしました。 CVE-2024-23204は、CVSSスコア7.5に達します。Appleショートカットは、macOSおよびiOSデバイス上で迅速なアプリタスク、デバイス管理、メディア処理、メッセージング、位置を基にした活動のための自動化機能を提供する非常に人気のあるツールです。この高重大度の脆弱性は、TCCポリシーをバイパスする悪意のあるショートカットを作成するために武器化され得ます。

Bitdefenderのジュバエル・アルナジ・ジャビンがこのセキュリティ問題を発表し、その 詳細な概要と技術的な詳細を提供しました。この欠陥は、「URLを展開する」ショートカットアクションに起因し、適切なサービスによって短縮されたURLを展開し、クリーンアップするように設計されていますが、UTM追跡パラメータを排除します。これらのショートカット機能の悪用は、ショートカットアプリ内で機密情報を選択し、それをベース64でインポートおよびエンコードし、攻撃者のサーバーに送信することを含みます。捕捉されたデータは、その後、Flaskアプリを通じて攻撃者のサーバーに画像として保存され、さらにエクスプロイトされる可能性を生み出します。ショートカットの共有機能は、ユーザーが容易に脆弱性を武器化するショートカットをインポートできるため、脅威のリスクを増幅させます。

Appleは2024年1月22日に製品のセットバージョンをリリースしてこの欠陥に対処しました。 iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3と watchOS 10.3です。CVE-2024-23204の緩和策として、Appleユーザーはデバイスを最新バージョンに迅速にアップグレードし、信頼できないソースから取得したショートカットを実行する際には注意を払い、ベンダーより提供される関連する修正と同期するために更新を続けるべきです。

CVE-2024-23204のエクスプロイトとその有害な影響のリスクを排除するためには、組織のインフラ全体でサイバーの警戒を促進すべきです。 Attack Detectiveを活用することで、セキュリティエンジニアは攻撃領域の可視性をリアルタイムかつ自動的に得て、リスクを適時に調査し、攻撃者が攻撃を開始する前に侵害を発見することを可能にします。