תוכנה זדונית של XCSSET משתמשת בהתקפות של 0 יום ב- MacOS

הלגה סמית 'מאי 25, 2021עודכן לאחרונה: מאי 27, 2021
2 דקות לקרוא

לאפל יש שיחררו עדכוני אבטחה עבור מספר ממוצריה ותיקן שלוש נקודות תורפה של 0 ימים ב-macOS ו-tvOS, התוכנה הזדונית XCSSET כבר משתמשת בה. תוכנה זדונית אימצה את אחת הבעיות כדי לעקוף את מנגנוני ההגנה של macOS.

בכל שלושת המקרים, אפל מזהירה כי הבעיות “ניתן לנצל באופן פעיל” על ידי פושעי רשת, למרות זאת, טרם נחשפו פרטים על התקפות אלו או פושעים בחברה.

שתיים משלוש נקודות התורפה (CVE-2021-30663 ו CVE-2021-30665) יכול להיחשב פחות מסוכן, מכיוון שהם היוו איום רק על WebKit במכשירי Apple TV 4K ו-Apple TV HD. בעיות אלו עלולות להיות מנוצלות באמצעות תוכן אינטרנט זדוני בעל מבנה מיוחד שהשחית מידע בזיכרון, דבר שגרר ביצוע של קוד שרירותי במכשירים פגיעים.

באג השלישי והרציני ביותר של יום האפס (CVE-2021-30713) מסוכן למכשירים שבהם פועל macOS Big Sur, והוא נושא הרשאות בשקיפות, הַסכָּמָה, ובקרה (TCC) מִסגֶרֶת.

הפגיעות התגלתה על ידי מהנדסי חברת אבטחת המידע Jamf כאשר הם חקרו את התוכנה הזדונית XCSSET. הרשו לי להזכיר לכם שהתוכנה הזדונית הזו הייתה שם לב לראשונה אֶשׁתָקַד, כשהתברר שפרויקטים רבים של Xcode שהתארחו ב-GitHub נדבקו בו.

"בגילוי ראשוני, דווח שאחד המאפיינים הבולטים ביותר של XCSSET הוא השימוש בשני ניצול של יום אפס. [הראשון] שימש לגניבת עוגיות מדפדפן ספארי, והשני שימש כדי לעקוף בקשות בעת התקנת Safari עבור מפתחים", - אמרו החוקרים.

למרות זאת, מחקר מפורט יותר של XCSSET גילה שלתוכנה הזדונית היה ניצול שלישי לעוד פגיעות של יום אפס בארסנל שלה. ארוז כ-AppleScript, הניצול אפשר לתוכנה זדונית לעקוף את TCC (שירות macOS שמציג חלונות קופצים ומבקש הרשאות בכל פעם שאפליקציה מנסה לבצע פעולה חודרנית, כולל שימוש במצלמה, מִיקרוֹפוֹן, הקלטת מסך, או הקשות).

XCSSET נוצל לרעה CVE-2021-30713 כדי למצוא את המזהים של יישומים אחרים ב-macOS שקיבלו הרשאות שעלולות להזיק, ואז הזריק יישומון זדוני לאחד מהיישומים האלה כדי לבצע פעולות זדוניות.

“הניצול הנדון אפשר לתוקפים לקבל גישה מלאה לדיסק, הקלטת מסך, והרשאות אחרות ללא הסכמה מפורשת של המשתמש”, - מזהיר Jamf.

למרות ש-XCSSET ומסעות ההפצה שלה בדרך כלל ממוקדים מאוד ומכוונים בעיקר למפתחים, יש סכנה שעכשיו גם פושעים אחרים ישתמשו CVE-2021-30713 על ההתקפות שלהם. לכן, למשתמשי macOS מומלץ מאוד לעדכן את מערכת ההפעלה שלהם לגרסה העדכנית ביותר (macOS Big Sur 11.4).

תן לי להזכיר לך שגם אני כתבתי את זה תוכנות כופר של MountLocker משתמשות ב- Windows API כדי לנווט ברשת.

תגים
הלגה סמית 'מאי 25, 2021עודכן לאחרונה: מאי 27, 2021
2 דקות לקרוא

הלגה סמית '

תמיד התעניינתי במדעי המחשב, במיוחד אבטחת נתונים והנושא, שנקרא בימינו "מדע נתונים", מאז שנות העשרה המוקדמות שלי. לפני שנכנסתי לצוות הסרת וירוסים כעורך ראשי, עבדתי כמומחה לאבטחת סייבר בכמה חברות, כולל אחד מקבלני אמזון. חוויה נוספת: יש לי ללמד באוניברסיטאות ארדן ורידינג.

השאר תגובה

אתר זה משתמש Akismet להפחית זבל. למד כיצד נתוני תגובתך מעובד.

כפתור חזרה למעלה