XCSSET-wanware gebruik 0-dag-aanvalle in macOS

Helga SmithMei 25, 2021Laas opgedateer: Mei 27, 2021
2 minute gelees

Apple het sekuriteitsopdaterings vrygestel vir 'n aantal van sy produkte en het drie 0-dae kwesbaarhede in macOS en tvOS reggestel, wat die XCSSET-wanware reeds gebruik. Malware het een van die probleme aangeneem om die beskermingsmeganismes van macOS te omseil.

In al drie gevalle, Apple waarsku dat die probleme “aktief uitgebuit kan word” deur kubermisdadigers, egter, geen besonderhede oor hierdie aanvalle of misdadigers in die maatskappy is nog bekend gemaak nie.

Twee van die drie kwesbaarhede (CVE-2021-30663 en CVE-2021-30665) kan as minder gevaarlik beskou word, aangesien hulle slegs 'n bedreiging vir WebKit op Apple TV 4K en Apple TV HD-toestelle ingehou het. Hierdie probleme kan uitgebuit word deur spesiaal vervaardigde kwaadwillige webinhoud wat inligting in die geheue beskadig het, wat die uitvoering van arbitrêre kode op kwesbare toestelle behels het.

Die derde en ernstigste zero-day gogga (CVE-2021-30713) is gevaarlik vir toestelle wat macOS Big Sur gebruik, en is 'n toestemmingskwessie in die Transparency, Toestemming, en Beheer (TCC) raamwerk.

Die kwesbaarheid is deur die ingenieurs van die inligtingsekuriteitsmaatskappy ontdek Jamf toe hulle die XCSSET-wanware bestudeer het. Laat ek jou herinner dat hierdie malware was eerste opgemerk verlede jaar, toe dit blyk dat baie Xcode-projekte wat op GitHub aangebied is, daarmee besmet was.

“By aanvanklike ontdekking, daar is berig dat een van die mees noemenswaardige kenmerke van XCSSET die gebruik van twee nul-dag-uitbuitings is. [Die eerste] is gebruik om koekies van die Safari-blaaier te steel, en die tweede is gebruik om versoeke te omseil wanneer Safari vir ontwikkelaars geïnstalleer is.”, - het die navorsers gesê.

Egter, 'n meer gedetailleerde studie van XCSSET het aan die lig gebring dat die malware 'n derde uitbuiting gehad het vir nog 'n nul-dag kwesbaarheid in sy arsenaal. Verpak as AppleScript, die uitbuiting het wanware toegelaat om TCC te omseil ('n macOS-diens wat opspringers wys en vir toestemmings vra wanneer 'n toepassing 'n indringende handeling probeer uitvoer, insluitend die gebruik van die kamera, mikrofoon, skerm opname, of toetsaanslagen).

XCSSET misbruik CVE-2021-30713 om die identifiseerders van ander toepassings op macOS te vind wat potensieel skadelike toestemmings ontvang het, en dan 'n kwaadwillige applet in een van daardie toepassings ingespuit om dan kwaadwillige aksies uit te voer.

“Die bespreekte ontginning het aanvallers toegelaat om volle skyftoegang te verkry, skerm opname, en ander toestemmings sonder uitdruklike gebruikertoestemming”, — waarsku Jamf.

Alhoewel XCSSET en sy verspreidingsveldtogte gewoonlik hoogs geteiken is en hoofsaaklik ontwikkelaars teiken, daar is 'n gevaar wat nou ook ander misdadigers sal gebruik CVE-2021-30713 vir hul aanvalle. Daarom, macOS-gebruikers word sterk aangeraai om hul bedryfstelsel na die nuutste weergawe op te dateer (macOS Big Sur 11.4).

Laat ek jou herinner dat ek dit ook geskryf het MountLocker ransomware gebruik Windows API om die netwerk te navigeer.

Merkers
Helga SmithMei 25, 2021Laas opgedateer: Mei 27, 2021
2 minute gelees

Helga Smith

Ek het altyd in rekenaarwetenskap belanggestel, veral datasekuriteit en die tema, wat deesdae genoem word "data wetenskap", sedert my vroeë tienerjare. Voordat u as hoofredakteur in die virusverwyderingspan kom, Ek het as 'n kuberveiligheidskenner in verskeie maatskappye gewerk, including one of Amazon's contractors. Nog 'n ervaring: Ek het onderrig in Arden en Reading universiteite.

Los 'n antwoord

Your email address will not be published. Required fields are marked *

Hierdie webwerf gebruik Akismet om strooipos te verminder. Leer hoe jou opmerkingdata verwerk word.

Terug na bo-knoppie