Apple M5에서 첫 공개 macOS 커널 메모리 손상 익스플로잇

• Calif 엔지니어들이 Apple M5에서 동작하는 macOS 커널 메모리 손상 익스플로잇을 만들고 Apple에 취약점 연구 보고서를 전달함
• 익스플로잇 체인은 MIE가 활성화된 bare-metal M5 하드웨어를 대상으로 하며, Apple 수정 뒤 전체 기술 세부사항이 공개될 예정임
• 대상은 macOS 26.4.1 (25E253) 이고, 권한 없는 로컬 사용자에서 일반 시스템 호출만으로 root shell에 도달함
• 구현에는 두 개의 취약점과 여러 기법이 쓰였으며, Calif는 이를 MIE 하드웨어에서 공개된 첫 macOS 커널 익스플로잇으로 파악함
• Mythos Preview가 버그 식별과 익스플로잇 개발을 도왔지만, MIE 같은 새 완화책 우회에는 여전히 인간 전문가가 필요함

M5의 MIE를 통과한 macOS 커널 익스플로잇

• Calif 엔지니어들이 Mythos Preview와 함께 Apple M5 실리콘에서 동작하는 macOS 커널 메모리 손상 익스플로잇을 만들었고, Apple Park에서 Apple에 취약점 연구 보고서를 직접 전달함
• 이 체인은 MIE(Memory Integrity Enforcement)가 활성화된 bare-metal M5 하드웨어를 대상으로 함
• 대상은 macOS 26.4.1 (25E253) 이며, 권한 없는 로컬 사용자에서 시작해 일반 시스템 호출만 사용하고 root shell로 끝나는 데이터 전용 커널 로컬 권한 상승 체인임
• 구현에는 두 개의 취약점과 여러 기법이 포함됐으며, Apple이 취약점과 공격 경로를 수정한 뒤 55페이지 보고서와 전체 기술 세부사항이 공개될 예정임
• 일정은 빠르게 진행됨
  • Bruce Dang이 4월 25일 버그를 발견함
  • Dion Blazakis가 4월 27일 Calif에 합류함
  • Josh Maine이 도구를 만들었고, 5월 1일 동작하는 익스플로잇이 완성됨

MIE와 Mythos Preview의 의미

• 메모리 손상은 iOS와 macOS를 포함해 여전히 가장 흔한 취약점 유형이며, 완전히 막기 어렵다면 공격 비용을 높이는 완화책이 필요함
• Apple은 성능과 보안을 함께 고려해 많은 방어 기능을 하드웨어에 넣었고, 전체 스택을 통제하는 방식으로 우회 난도를 높였음
• MIE는 ARM의 MTE(Memory Tagging Extension)를 기반으로 한 하드웨어 지원 메모리 안전 시스템이며, Apple M5와 A19의 주요 보안 기능으로 도입됨
• Apple의 연구에 따르면 MIE는 최근 유출된 Coruna와 Darksword 익스플로잇 키트를 포함해 현대 iOS에 대한 모든 공개 익스플로잇 체인을 방해함
• Calif는 MTE 환경에서도 동작하는 익스플로잇 구축에 AI가 어떻게 기여할 수 있는지 탐색해 왔고, iOS 중심인 Apple의 MIE가 최신 MacBook의 M5에도 적용되면서 macOS 공격 경로가 가능해짐
• Mythos Preview는 버그 식별과 익스플로잇 개발 전반을 도왔고, 이미 학습한 문제 유형에는 거의 같은 유형의 문제까지 일반화할 수 있음
• Mythos가 버그를 빠르게 찾은 이유는 해당 버그들이 알려진 유형에 속했기 때문이며, MIE처럼 새로운 최고 수준의 완화책을 자율적으로 우회하는 일은 여전히 인간 전문가의 영역임
• Calif는 최고 수준의 모델과 전문가가 결합될 때 가능한 범위를 테스트했고, 이 조합은 최상위 보호 장치를 상대로 1주일 안에 커널 메모리 손상 익스플로잇을 완성할 수 있었음
• MIE는 해커를 완전히 막기 위한 장치가 아니며, 적절한 취약점이 있으면 회피될 수 있음
• MAD Bugs 시리즈에서는 AI 시스템이 점점 더 많은 취약점을 발견하고 있으며, 그중 일부는 MIE 같은 고급 완화책을 통과할 만큼 강력해질 수 있다고 봄
• Apple이 MIE를 만든 시점에는 Mythos Preview 같은 환경이 없었고, 이번 작업은 AI 기반 버그 발견이 고급 완화 기술에 가하는 압력을 보여주는 초기 결과물임