苹果已经发布了安全更新,修补了在野外被利用的三个macOS和tvOS 0 day漏洞攻击者,前者被XCSSET恶意软件滥用,以绕过macOS隐私保护。
在这三起漏洞中,苹果公司表示,他们都知道了“可能已经被积极利用”的报道,但并未提供有关可能利用0 day漏洞的攻击或威胁行为者的详细信息。
可用于隐私绕过和代码执行
三个0 day中的两个(被追踪为CVE-2021-30663和CVE-2021-30665)影响了Apple TV 4K和Apple TV HD设备上的WebKit。
Webkit是Apple的开源浏览器引擎,其Web浏览器和应用程序使用Webkit来在其台式机和移动平台(包括iOS、macOS、tvOS和iPadOS)上显示HTML内容。
威胁参与者可以使用恶意制作的Web内容利用这两个漏洞,由于内存损坏问题,这些内容将触发未修补设备上的任意代码执行。
第三个0 day漏洞(被追踪为CVE-2021-30713)会影响macOS Big Sur设备,这是在透明度同意和控制(Transparency、Consent和Control,TCC)框架中的许可问题。
TCC框架是一个macOS子系统,可阻止已安装的应用访问敏感的用户信息,而无需通过弹出消息请求明确的权限。
攻击者可以使用恶意制作的应用程序来利用此漏洞,该应用程序可能绕过隐私首选项并访问敏感的用户数据。
XCSSET macOS恶意软件使用的0 day漏洞
尽管Apple没有提供有关如何在攻击中被滥用的三个0 day的任何详细信息,但Jamf的研究人员发现XCSSET恶意软件使用今天修补的macOS 0 day(CVE-2021-30713)来绕过Apple所设计的TCC保护,以保护用户的隐私。
- “XCSSET恶意软件正在利用这个漏洞,该漏洞允许黑客访问macOS中需要权限的部分,例如未经同意就能访问麦克风、网络摄影机或录下整个屏幕画面。这是默认的设置。”研究人员说。
- “我们Jamf Protect检测小组的成员在对XCSSET恶意软件继续分析的过程中发现,这个漏洞正在被积极利用,之前我们也注意到被检测到的在野变体显著上升。检测小组注意到,一旦安装到受害者的系统上,XCSSET便专门使用此旁路来获取偷偷截取受害者的屏幕画面,而无需其他权限。”
基本上,在允许任何恶意软件或其他App录制屏幕,访问麦克风或网络摄影机,抑或打开用户存储之前,macOS都应该会先征求用户的许可才对。但是,该恶意软件通过将恶意程序代码注入至合法App以潜入系统中,并规避掉权限提示。
XCSSET恶意软件是最早由趋势科技在2020年发现,它专门锁定Apple开发人员,特别是他们用来编写和构建App的Xcode项目。在此次活动中,攻击者利用另外两个0 day劫持Safari Web bro并注入恶意Javascript有效payload。
趋势科技研究人员上个月发现了一个新的XCSSET变体,已更新为可用于最近发布的Apple设计的ARM Mac。
0 day漏洞在野利用时间线
今年以来,0 day漏洞越来越频繁地出现在Apple的安全公告中,其中大多数漏洞在被修补之前都被标记为已在攻击中被利用。
本月初,Apple在Webkit引擎中解决了两个iOS 0 day漏洞,利用这两个漏洞,攻击者通过访问恶意网站即可在易受攻击的设备上执行任意远程代码(RCE)。
苹果公司还一直在发布补丁程序,以解决过去几个月在野外被广泛利用的0 day漏洞,包括:4月份在macOS中修复的一个漏洞,还有许多其他iOS漏洞也在更早的几个月中被修复。
去年11月,苹果公司修补了另外三个影响iPhone、iPad和iPod设备的iOS 0 day漏洞:远程代码执行漏洞、内核内存泄漏和内核权限提升漏洞。
Shlayer恶意软件利用4月份已被修补的MacOS的0 day漏洞绕过了苹果的文件隔离、网守和公证安全检查,从而更加简单便捷地下载和安装第二阶段的恶意payload。
本文翻译自:https://www.bleepingcomputer.com/news/security/apple-fixes-three-zero-days-one-abused-by-xcsset-macos-malware/如若转载,请注明原文地址。