マルウェア対策ソフトウェアメーカーのMalwarebytesは、Appleの「一貫性のない」パッチ適用プロセスを批判した。同社はブログ記事で、iPhoneメーカーの「行動」がセキュリティ上の悪影響を招いていると指摘した。
MalwarebytesのMacおよびモバイル担当ディレクター、トーマス・リード氏が書いたブログ記事では、香港の水飲み場型攻撃キャンペーンの詳細が解説されています。香港では、メディアや民主化派の政治団体の訪問者を特に狙ったmacOSの脆弱性攻撃によって、複数のユーザーが被害に遭いました。
GoogleのTAGが発見した単一のエクスプロイトチェーン
香港住民を標的とした水飲み場型攻撃を最初に報告したのは、Googleの脅威分析グループ(TAG)でした。macOSの脆弱性は、単一のエクスプロイトチェーンであることが報告されています。攻撃の1つはWebkitの脆弱性(リモートコード実行(CVE-2021-1789))を、もう1つはXNU権限昇格の脆弱性を悪用したものでした。
リード氏によると、トロイの木馬は香港の特定の人々を攻撃するために使用されたとのことです。また、両方の攻撃は2019年から検知されることなく存在していたと付け加えました。
「同じバグがCatalinaにも存在していたようです。AppleがBig Surのパッチをリリースしてから7ヶ月、Zer0conで詳細が公開されてから5ヶ月以上経っても、パッチは適用されませんでした」とリード氏はMalwarebytesが公開したブログ記事に記している。「これにより、攻撃者はCatalinaとSafari 13を使用しているユーザーを検知されることなく標的にすることができました。」
AppleはmacOS版のパッチをリリースしていますが、そのやり方は一貫していません。デスクトップOSの古いバージョン向けのパッチのリリースには数ヶ月かかることもあります。
GoogleのTAGが公開したブログ投稿には、「ユーザーを保護するため、TAGは実際に悪用されているゼロデイ脆弱性を定期的に調査しています。2021年8月下旬、TAGは香港のメディアと著名な民主化運動の労働・政治団体のウェブサイト訪問者を標的とした水飲み場型攻撃を発見しました」と記されています。「この水飲み場型攻撃は、macOS Catalinaにパッチが適用されていないXNU権限昇格の脆弱性(CVE-2021-30869)を悪用し、これまで報告されていないバックドアのインストールにつながりました。」
