またまたBlack Hatが喜びそうな話題。新しいゼロデイエクスプロイトが見つかり、われわれが日常的に使っているコンピュータ製品の弱点を、あらためて思い知らされている。今度のはXeno KovahとTrammell HudsonがOS Xに見つけた深刻なゼロデイ脆弱性で、マルウェアの作者はこれを悪用して、Macを完全にフリーズさせることができる。その際、Macを工場出荷時の状態に初期化することもできない。AppleはThe Guardian紙に、今YosemiteとEl Capitanの両方で対策中だ、と語っている。
このゼロデイエクスプロイトはThunderstrike 2と呼ばれ、接続されているThunderboltアクセサリ…Ethernetアダプタや外付けハードディスクなどを利用してMacのファームウェアを攻撃する。そのマルウェアはフィッシングメールや悪質なWebサイトからコードを受け取り、Thunderboltアクセサリを見つけるとそのオプションROMをフラッシュする。
感染したThunderboltアクセサリが接続された状態でMacをリブートすると、OS Xをブートする前にEFIがオプションROMを実行する。このオプションROMは感染しているから悪質なコードを実行してEFIも感染させ、MacのファームウェアがOS Xのブートを拒絶し、Macを何もできない金属片にしてしまう。ファームウェアがやられてしまったら、OS Xの立ち上げも、ファームウェアのアップデートも、悪質なコードの除去も、すべてできない。
このゼロデイ脆弱性の強みは、Thunderboltアクセサリがずっと感染状態であることだ。だからたとえばEthernetアダプタを新しいMacに接続したら、そのMacもリブート時に感染する。インターネット上で拡散するマルウェアほど有害ではないが、会社などでMacを使ってる場合は深刻な被害になることもある。
Stefan Esserが先月見つけたもうひとつのエクスプロイトは、DYLDと呼ばれる。こちらは犯人がroot特権を持ってしまうから、ハードディスクをフォーマットされてしまったり、あるいはお金にかかわる被害が生じたりすることも、ありえる。
Malwarebytesが見つけたDYLDの悪用例は、あるアドウェア作者によるもので、rootパーミッションを取得したらスクリプトを実行して大量のアプリケーションをインストールする…それらは、アドウェアのVSearchやGenieo、ジャンクウェアのMacKeeperなどだ。また、Download Shuttleをインストールせよ、というプロンプトが無限回出るので、Mac App Storeを利用できなくなる。
AppleはEl CapitanのベータではDYLDをフィクスしたが、今のYosemiteはまだだ。このエクスプロイトを悪用するアプリケーションをマルウェアのブラックリストに加えたが、それは一時的な安心材料でしかない。OS X YosemiteもOS X El Capitanベータも、いずれはセキュリティパッチが発表されるだろう。でも当面は、何かをダウンロードするとき用心すること、そしてMacをリブートする前には必ず、すべてのThunderboltデバイスを外すことが重要だ。万一に備えて。