Mac OS Xを狙うトロイの木馬出現 - ITmedia News
「最近発見されたApple Remote Desktop Agentの脆弱性を悪用する。このプログラムは感染したシステム上で隠れて動作し、攻撃者がシステムにリモートアクセスできるようにしたり、パスワードを送信したり、ファイアウォールによる検知を避けたり、ログ採取をオフにすることができる。さらにキー入力の内容を記録し、iSightカメラで写真を撮り、スクリーンショットを取り、ファイル共有をオンにすることも可能」らしい。辱められる訳ね。
この脆弱性、Integoが言うほど深刻な脆弱性でないことからAppleが緊急でセキュリティパッチをリリースするとは思えません。と言うことで、簡単な現実逃避方法を紹介します。
もちろん自己責任でね。
- ARDAgentの権限昇格について
この問題はARDAgentに付与されたSUID(Set User ID)に問題と言うことだった。ARDAgentがroot権限で動作しているに対してSUIDのパーミッションが入っていることで、ゲストユーザを含めた一般ユーザにおいて、AppleScriptおよびコンソールからroot権限で任意のコマンドが実行できちゃうらしい。
- SUIDを調べる
以下のコマンドでOS Xで設定されているSUIDとSGIDが入っているファイルの一覧が出力されるよーん。
$ find / type \( -perm -4000 -o -perm -2000 \) -ls
様々なファイルが表示されると思いますが、ARDAgentは以下のファイルとして出力されると思われます。10.5.3のばやい。10.4.11でも同じ場所にありました。
16333847 2816 -rwsr-xr-x 1 root wheel 1439952 11 16 2007 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
- SUIDを解除する
ここの”-rwsr-xr-x”の"s"が問題になります。SUIDを解除するコマンドは以下の通り。
$ sudo chmod 755 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
以下のコマンドでパーミッションを確認することが可能だよもん。
$ ls -al /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
ここで、パーミッションが"-rwxr-xr-x"となっていればSUIDが解除されちゃったりします。
これで、権限の昇格は行われないと思われます。きっと。
- SUIDを元に戻す
なお、この設定を元に戻したい場合は、以下のコマンドで元に戻ります。
$ sudo chmod 4755 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent