先週のmacOS Sierra 10.12.2ソフトウェアアップデートでは、多数のバグが修正され、新たに発見されたいくつかの脆弱性が修正された。その中には、ロックされたMacやスリープ状態のMacに300ドルのThunderboltデバイスを接続することで攻撃者がFileVaultディスク暗号化パスワードを入手できてしまう脆弱性もあった。
セキュリティ研究者のウルフ・フリスク氏によると、攻撃者がこの脆弱性を悪用するには、Macに物理的にアクセスする必要があります。入手したパスワードは、Macのディスクのロックを解除し、ディスク上のすべての情報にアクセスするために利用される可能性があります。
Frisk は、この種の攻撃を可能にした 2 つの macOS の問題について詳しく説明しています。
まず、macOSは起動前にダイレクトメモリアクセス(DMA)攻撃に対する保護がありませんでした。これは、Macの電源投入時に実行されるBIOSの一種であるExtensible Firmware Interface(EFI)が、macOS自体が起動する前にThunderboltデバイスによるメモリの読み書きを許可していたためです。
「現時点ではmacOSはまだ起動していません」とフリスク氏は記している。「macOSは暗号化されたディスク上に保存されており、起動するにはロックを解除する必要があります。macOSが起動すると、DMA保護がデフォルトで有効になります。」
第二に、macOSはFileVaultディスク暗号化のパスワードを平文で複数のメモリ領域に保存していました。パスワードは再起動のたびに移動していましたが、それでも固定されたメモリ領域に保存されていました。
さらに、macOS はディスクのロックが解除された後もメモリからパスワードを削除しませんでした。
300ドルもするThunderboltベースのDMA攻撃専用ハードウェアをMacに接続すれば、物理的にMacにアクセスできる攻撃者はコンピュータを再起動するだけで済みます。その時点で、それまで有効になっていたDMA保護はすべて解除されます。
つまり、クリアテキストで保存された FileVault ディスク暗号化パスワードを含むメモリの内容は、起動ディスクのロックが解除され、パスワードが新しい内容で上書きされるまで、数秒間はそのまま残ります。
これにより、攻撃ハードウェアは 30 秒以内にパスワードを取得できるようになりました。
Macがシャットダウンされている場合は、脆弱性はありません。ただし、スリープ状態の場合は、依然として脆弱性が存在します。この攻撃は、USB-Cを搭載した最近のMacモデルではテストされていません。
Mac を保護するには、最新の macOS Sierra 10.12.2 ソフトウェア アップデートをインストールするだけです。
macOS Sierra 10.12.2のセキュリティ内容を詳述したAppleのセキュリティ文書ではこの脆弱性について言及されていないが、Friskは8月にこの件についてAppleに伝えており、同社は最新の10.12.2アップデートでこの問題を修正した。
「Appleが決定し、導入した解決策は完全なものだ」と彼は書いている。「少なくとも私が確認できた範囲ではそうだ。macOSの起動前にメモリにアクセスできなくなった。Macは今や、この特定の攻撃ベクトルに関して最も安全なプラットフォームの一つだ」
これが修正されてよかったです。
いわゆるコールドブート攻撃や予期せぬ DMA ベースの脆弱性から身を守るために、使用していないときは Mac をスリープ状態にするのではなく、必ず電源を切ってください。
写真: 脆弱性を悪用するために使用される Thunderbolt ベースの DMA 攻撃ハードウェア。
出典: ウルフ・フリスク
