苹果修复了三个0day漏洞,其中一个被XCSSSETmacOS恶意软件滥用绕过macOS隐私保护。在这三个漏洞中,Apple表示它知道“可能已被积极利用”的报告,但没有提供有关可能利用零日漏洞的攻击或威胁参与者的详细信息。可用于隐私绕过和代码执行的三个零日漏洞中的两个(跟踪为CVE-2021-30663和CVE-2021-30665)影响了AppleTV4K和AppleTVHD设备上的WebKit。Webkit是Apple的开源浏览器引擎,其网络浏览器和应用程序使用它在其桌面和移动平台(包括iOS、macOS、tvOS和iPadOS)上显示HTML内容。威胁行为者可以使用恶意制作的Web内容来利用这两个漏洞,这些内容会由于内存损坏问题而在未修补的设备上触发任意代码执行。影响macOSBigSur设备的第三个零日漏洞(跟踪为CVE-2021-30713)是透明、同意和控制(TCC)框架中的权限问题。TCC框架是一个macOS子系统,可防止已安装的应用程序在未通过弹出消息请求明确许可的情况下访问敏感的用户信息。攻击者可以使用恶意制作的应用程序来利用此漏洞,该应用程序可以绕过隐私首选项并访问敏感的用户数据。XCSSETmacOS恶意软件使用的0-day漏洞尽管Apple没有提供任何关于如何在攻击中滥用这三个0-day的详细信息,但Jamf的研究人员发现XCSSET恶意软件使用了今天修补的macOS0-day(CVE-2021).-30713)绕过Apple为保护用户隐私而设计的TCC保护。“XCSSET恶意软件正在利用这个漏洞,它允许黑客访问需要权限的macOS部分,例如访问麦克风、网络摄像头或未经同意录制整个屏幕。这是默认设置,”研究人员说。“随着我们JamfProtect检测团队的成员继续分析XCSSET恶意软件,我们发现该漏洞正在被积极利用。我们还注意到在野外检测到的变体数量显着增加。检测团队注意到,一旦安装在受害者的系统上,XCSSET就专门使用这种绕过方法,在不需要其他权限的情况下偷偷摸摸地获取受害者屏幕的屏幕截图。”基本上,任何允许其录制屏幕、访问麦克风或网络摄像头,或打开用户存储的恶意软件或其他应用程序,macOS都应该先征求用户的许可。然而,该恶意软件通过向合法应用程序注入恶意程序代码潜入系统,并规避权限提示。XCSSET恶意软件由趋势科技于2020年首次发现,专门针对Apple开发人员,尤其是他们用来编写和构建应用程序的Xcode项目。在此活动中,攻击者利用另外两个零日漏洞劫持SafariWebbro并注入恶意Javascript负载。TrendMicro研究人员上个月发现了一个新的XCSSSET变体,该变体已经更新,可以在最近发布的Apple设计的ARMMac上运行。0-day漏洞利用时间线今年年初以来,0-day漏洞在苹果安全公告中出现的频率越来越高,而且大部分在未被修复之前就被标记为在攻击中被利用。本月早些时候,Apple解决了Webkit引擎中的两个iOS零日漏洞,攻击者可以通过访问恶意网站在易受攻击的设备上执行任意远程代码(RCE)。Apple还一直在发布补丁,以解决过去几个月在野外广泛利用的零日漏洞,包括:4月份在macOS中修复的一个漏洞,以及数个早些时候修复的许多其他iOS漏洞。这个月。11月,Apple修补了另外三个影响iPhone、iPad和iPod设备的iOS零日漏洞:远程代码执行漏洞、内核内存泄漏和内核权限升级漏洞。Shlayer恶意软件利用4月份修复的MacOS0-day漏洞绕过Apple的文件隔离、网守和公证安全检查,使第二阶段恶意载荷的下载和安装变得更加容易和方便。本文翻译自:https://www.bleepingcomputer.com/news/security/apple-fixes-three-zero-days-one-abused-by-xcsset-macos-malware/如有转载请注明原文地址.
