Apple修復了三個0 day漏洞,其中一個已經被XCSSET macOS惡意軟件濫用
蘋果已經發(fā)布了安全更新,修補了在野外被利用的三個macOS和tvOS 0 day漏洞攻擊者,前者被XCSSET惡意軟件濫用,以繞過macOS隱私保護。
在這三起漏洞中,蘋果公司表示,他們都知道了“可能已經被積極利用”的報道,但并未提供有關可能利用0 day漏洞的攻擊或威脅行為者的詳細信息。
可用于隱私繞過和代碼執(zhí)行
三個0 day中的兩個(被追蹤為CVE-2021-30663和CVE-2021-30665)影響了Apple TV 4K和Apple TV HD設備上的WebKit。
Webkit是Apple的開源瀏覽器引擎,其Web瀏覽器和應用程序使用Webkit來在其臺式機和移動平臺(包括iOS、macOS、tvOS和iPadOS)上顯示HTML內容。
威脅參與者可以使用惡意制作的Web內容利用這兩個漏洞,由于內存損壞問題,這些內容將觸發(fā)未修補設備上的任意代碼執(zhí)行。
第三個0 day漏洞(被追蹤為CVE-2021-30713)會影響macOS Big Sur設備,這是在透明度同意和控制(Transparency、Consent和Control,TCC)框架中的許可問題。
TCC框架是一個macOS子系統(tǒng),可阻止已安裝的應用訪問敏感的用戶信息,而無需通過彈出消息請求明確的權限。
攻擊者可以使用惡意制作的應用程序來利用此漏洞,該應用程序可能繞過隱私首選項并訪問敏感的用戶數(shù)據(jù)。
XCSSET macOS惡意軟件使用的0 day漏洞
盡管Apple沒有提供有關如何在攻擊中被濫用的三個0 day的任何詳細信息,但Jamf的研究人員發(fā)現(xiàn)XCSSET惡意軟件使用今天修補的macOS 0 day(CVE-2021-30713)來繞過Apple所設計的TCC保護,以保護用戶的隱私。
- “XCSSET惡意軟件正在利用這個漏洞,該漏洞允許黑客訪問macOS中需要權限的部分,例如未經同意就能訪問麥克風、網絡攝影機或錄下整個屏幕畫面。這是默認的設置。”研究人員說。
- “我們Jamf Protect檢測小組的成員在對XCSSET惡意軟件繼續(xù)分析的過程中發(fā)現(xiàn),這個漏洞正在被積極利用,之前我們也注意到被檢測到的在野變體顯著上升。檢測小組注意到,一旦安裝到受害者的系統(tǒng)上,XCSSET便專門使用此旁路來獲取偷偷截取受害者的屏幕畫面,而無需其他權限。”
基本上,在允許任何惡意軟件或其他App錄制屏幕,訪問麥克風或網絡攝影機,抑或打開用戶存儲之前,macOS都應該會先征求用戶的許可才對。但是,該惡意軟件通過將惡意程序代碼注入至合法App以潛入系統(tǒng)中,并規(guī)避掉權限提示。
XCSSET惡意軟件是最早由趨勢科技在2020年發(fā)現(xiàn),它專門鎖定Apple開發(fā)人員,特別是他們用來編寫和構建App的Xcode項目。在此次活動中,攻擊者利用另外兩個0 day劫持Safari Web bro并注入惡意Javascript有效payload。
趨勢科技研究人員上個月發(fā)現(xiàn)了一個新的XCSSET變體,已更新為可用于最近發(fā)布的Apple設計的ARM Mac。
0 day漏洞在野利用時間線
今年以來,0 day漏洞越來越頻繁地出現(xiàn)在Apple的安全公告中,其中大多數(shù)漏洞在被修補之前都被標記為已在攻擊中被利用。
本月初,Apple在Webkit引擎中解決了兩個iOS 0 day漏洞,利用這兩個漏洞,攻擊者通過訪問惡意網站即可在易受攻擊的設備上執(zhí)行任意遠程代碼(RCE)。
蘋果公司還一直在發(fā)布補丁程序,以解決過去幾個月在野外被廣泛利用的0 day漏洞,包括:4月份在macOS中修復的一個漏洞,還有許多其他iOS漏洞也在更早的幾個月中被修復。
去年11月,蘋果公司修補了另外三個影響iPhone、iPad和iPod設備的iOS 0 day漏洞:遠程代碼執(zhí)行漏洞、內核內存泄漏和內核權限提升漏洞。
Shlayer惡意軟件利用4月份已被修補的MacOS的0 day漏洞繞過了蘋果的文件隔離、網守和公證安全檢查,從而更加簡單便捷地下載和安裝第二階段的惡意payload。
本文翻譯自:https://www.bleepingcomputer.com/news/security/apple-fixes-three-zero-days-one-abused-by-xcsset-macos-malware/如若轉載,請注明原文地址。
