XCSSET 惡意軟件在 macOS 中使用 0-day 攻擊

蘋果有 發布的安全更新 用於其許多產品並修復了 macOS 和 tvOS 中的三個 0-day 漏洞, XCSSET 惡意軟件已經在使用. 惡意軟件採用了其中一個問題來繞過 macOS 的保護機制.

在所有三種情況下, 蘋果警告說這些問題 “可以被積極利用” 由網絡犯罪分子, 然而, 尚未披露有關這些攻擊或公司犯罪的詳細信息.

三個漏洞中的兩個 (CVE-2021-30663 和 CVE-2021-30665) 可以認為危險性較低, 因為它們只對 Apple TV 4K 和 Apple TV HD 設備上的 WebKit 構成威脅. 這些問題可以通過特製的惡意 Web 內容來利用，這些內容會破壞內存中的信息, 這需要在易受攻擊的設備上執行任意代碼.

第三個也是最嚴重的零日漏洞 (CVE-2021-30713) 對運行 macOS Big Sur 的設備很危險, 並且是透明度中的權限問題, 同意, 和控制 (TCC) 框架.

該漏洞被信息安全公司的工程師發現 果醬 當他們研究 XCSSET 惡意軟件時. 讓我提醒您，這個惡意軟件是 第一次注意到 去年, 當結果發現 GitHub 上託管的許多 Xcode 項目都感染了它時.

“在最初的發現, 據報導，XCSSET 最顯著的特徵之一是使用了兩個零日漏洞. [首先] 被用來從 Safari 瀏覽器竊取 cookie, 第二個用於在為開發人員安裝 Safari 時繞過請求”, ——研究人員說.

然而, 對 XCSSET 的更詳細研究表明，該惡意軟件對其武器庫中的另一個零日漏洞進行了第三次利用. 打包為 AppleScript, 該漏洞允許惡意軟​​件繞過 TCC (一項 macOS 服務，當應用程序嘗試執行侵入性操作時，它會顯示彈出窗口並請求權限, 包括使用相機, 麥克風, 屏幕錄製, 或擊鍵).

XCSSET 被濫用 CVE-2021-30713 在 macOS 上查找已收到潛在有害權限的其他應用程序的標識符, 然後在其中一個應用程序中註入惡意小程序，然後執行惡意操作.

“所討論的漏洞允許攻擊者獲得完整的磁盤訪問權限, 屏幕錄製, 和其他未經用戶明確同意的權限”, — 警告 Jamf.

儘管 XCSSET 及其分發活動通常具有高度針對性並且主要針對開發人員, 有一種危險，現在其他罪犯也會使用 CVE-2021-30713 因為他們的攻擊. 所以, 強烈建議 macOS 用戶將其操作系統更新到最新版本 (macOS 大蘇爾 11.4).

讓我提醒你，我也寫過 MountLocker勒索軟件使用Windows API導航網絡.