Apple修復了三個0 day漏洞,其中一個已經被XCSSET macOS惡意軟體濫用
蘋果已經發布了安全更新,修補了在野外被利用的三個macOS和tvOS 0 day漏洞攻擊者,前者被XCSSET惡意軟體濫用,以繞過macOS隱私保護。
在這三起漏洞中,蘋果公司表示,他們都知道了「可能已經被積極利用」的報道,但並未提供有關可能利用0 day漏洞的攻擊或威脅行為者的詳細信息。
可用於隱私繞過和代碼執行
三個0 day中的兩個(被追蹤為CVE-2021-30663和CVE-2021-30665)影響了Apple TV 4K和Apple TV HD設備上的WebKit。
Webkit是Apple的開源瀏覽器引擎,其Web瀏覽器和應用程序使用Webkit來在其台式機和移動平台(包括iOS、macOS、tvOS和iPadOS)上顯示HTML內容。
威脅參與者可以使用惡意製作的Web內容利用這兩個漏洞,由於內存損壞問題,這些內容將觸發未修補設備上的任意代碼執行。
第三個0 day漏洞(被追蹤為CVE-2021-30713)會影響macOS Big Sur設備,這是在透明度同意和控制(Transparency、Consent和Control,TCC)框架中的許可問題。
TCC框架是一個macOS子系統,可阻止已安裝的應用訪問敏感的用戶信息,而無需通過彈出消息請求明確的許可權。
攻擊者可以使用惡意製作的應用程序來利用此漏洞,該應用程序可能繞過隱私首選項並訪問敏感的用戶數據。
XCSSET macOS惡意軟體使用的0 day漏洞
儘管Apple沒有提供有關如何在攻擊中被濫用的三個0 day的任何詳細信息,但Jamf的研究人員發現XCSSET惡意軟體使用今天修補的macOS 0 day(CVE-2021-30713)來繞過Apple所設計的TCC保護,以保護用戶的隱私。
「XCSSET惡意軟體正在利用這個漏洞,該漏洞允許黑客訪問macOS中需要許可權的部分,例如未經同意就能訪問麥克風、網路攝影機或錄下整個屏幕畫面。這是默認的設置。」研究人員說。
「我們Jamf Protect檢測小組的成員在對XCSSET惡意軟體繼續分析的過程中發現,這個漏洞正在被積極利用,之前我們也注意到被檢測到的在野變體顯著上升。檢測小組注意到,一旦安裝到受害者的系統上,XCSSET便專門使用此旁路來獲取偷偷截取受害者的屏幕畫面,而無需其他許可權。」
基本上,在允許任何惡意軟體或其他App錄製屏幕,訪問麥克風或網路攝影機,抑或打開用戶存儲之前,macOS都應該會先徵求用戶的許可才對。但是,該惡意軟體通過將惡意程序代碼注入至合法App以潛入系統中,並規避掉許可權提示。
XCSSET惡意軟體是最早由趨勢科技在2020年發現,它專門鎖定Apple開發人員,特別是他們用來編寫和構建App的Xcode項目。在此次活動中,攻擊者利用另外兩個0 day劫持Safari Web bro並注入惡意Javascript有效payload。
趨勢科技研究人員上個月發現了一個新的XCSSET變體,已更新為可用於最近發布的Apple設計的ARM Mac。
0 day漏洞在野利用時間線
今年以來,0 day漏洞越來越頻繁地出現在Apple的安全公告中,其中大多數漏洞在被修補之前都被標記為已在攻擊中被利用。
本月初,Apple在Webkit引擎中解決了兩個iOS 0 day漏洞,利用這兩個漏洞,攻擊者通過訪問惡意網站即可在易受攻擊的設備上執行任意遠程代碼(RCE)。
蘋果公司還一直在發布補丁程序,以解決過去幾個月在野外被廣泛利用的0 day漏洞,包括:4月份在macOS中修復的一個漏洞,還有許多其他iOS漏洞也在更早的幾個月中被修復。
去年11月,蘋果公司修補了另外三個影響iPhone、iPad和iPod設備的iOS 0 day漏洞:遠程代碼執行漏洞、內核內存泄漏和內核許可權提升漏洞。
Shlayer惡意軟體利用4月份已被修補的MacOS的0 day漏洞繞過了蘋果的文件隔離、網守和公證安全檢查,從而更加簡單便捷地下載和安裝第二階段的惡意payload。
參考及來源:https://www.bleepingcomputer.com/news/security/apple-fixes-three-zero-days-one-abused-by-xcsset-macos-malware/
