XCSSET-malware bruger 0-dages angreb i macOS

Helga SmithKan 25, 2021Sidst opdateret: Kan 27, 2021
2 minutter læst

Apple har udgivet sikkerhedsopdateringer for en række af dets produkter og rettet tre 0-dages sårbarheder i macOS og tvOS, som XCSSET malware allerede bruger. Malware har vedtaget et af problemerne for at omgå beskyttelsesmekanismerne i macOS.

I alle tre tilfælde, Apple advarer om, at problemerne “kunne udnyttes aktivt” af cyberkriminelle, imidlertid, ingen detaljer om disse angreb eller kriminelle i virksomheden er endnu blevet afsløret.

To af de tre sårbarheder (CVE-2021-30663 og CVE-2021-30665) kan betragtes som mindre farlige, da de kun udgjorde en trussel mod WebKit på Apple TV 4K og Apple TV HD-enheder. Disse problemer kunne udnyttes gennem specielt fremstillet ondsindet webindhold, der beskadigede oplysninger i hukommelsen, hvilket indebar eksekvering af vilkårlig kode på sårbare enheder.

Den tredje og mest alvorlige nul-dag-fejl (CVE-2021-30713) er farligt for enheder, der kører macOS Big Sur, og er et spørgsmål om tilladelser i Transparency, Samtykke, og kontrol (TCC) rammer.

Sårbarheden blev opdaget af informationssikkerhedsfirmaets ingeniører Jamf da de studerede XCSSET malware. Lad mig minde dig om, at denne malware var først bemærket sidste år, da det viste sig, at mange Xcode-projekter hostet på GitHub var inficeret med det.

"Ved den første opdagelse, det blev rapporteret, at en af ​​de mest bemærkelsesværdige funktioner ved XCSSET er brugen af ​​to nul-dages udnyttelser. [Den første] blev brugt til at stjæle cookies fra Safari-browseren, og den anden blev brugt til at omgå anmodninger ved installation af Safari for udviklere", - sagde forskerne.

Imidlertid, en mere detaljeret undersøgelse af XCSSET afslørede, at malwaren havde en tredje udnyttelse af en anden nul-dages sårbarhed i sit arsenal. Pakket som AppleScript, udnyttelsen tillod malware at omgå TCC (en macOS-tjeneste, der viser pop op-vinduer og beder om tilladelser, hver gang et program forsøger at udføre en påtrængende handling, herunder brug af kameraet, mikrofon, skærmoptagelse, eller tastetryk).

XCSSET misbrugt CVE-2021-30713 for at finde identifikatorerne for andre applikationer på macOS, der havde modtaget potentielt skadelige tilladelser, og derefter injiceret en ondsindet applet i et af disse programmer for derefter at udføre ondsindede handlinger.

“Den omtalte udnyttelse tillod angribere at få fuld diskadgang, skærmoptagelse, og andre tilladelser uden udtrykkeligt brugerens samtykke”, — advarer Jamf.

Selvom XCSSET og dets distributionskampagner normalt er meget målrettede og primært rettet mod udviklere, der er fare for, at nu også andre kriminelle vil bruge CVE-2021-30713 for deres angreb. Derfor, macOS-brugere rådes kraftigt til at opdatere deres OS til den nyeste version (macOS Big Sur 11.4).

Lad mig minde dig om, at jeg også skrev det MountLocker ransomware bruger Windows API til at navigere på netværket.

Mærker
Helga SmithKan 25, 2021Sidst opdateret: Kan 27, 2021
2 minutter læst

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, herunder en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap