XCSSET 恶意软件在 macOS 中使用 0-day 攻击

苹果有 发布的安全更新 用于其许多产品并修复了 macOS 和 tvOS 中的三个 0-day 漏洞, XCSSET 恶意软件已经在使用. 恶意软件采用了其中一个问题来绕过 macOS 的保护机制.

在所有三种情况下, 苹果警告说这些问题 “可以被积极利用” 由网络犯罪分子, 然而, 尚未披露有关这些攻击或公司犯罪的详细信息.

三个漏洞中的两个 (CVE-2021-30663 和 CVE-2021-30665) 可以认为危险性较低, 因为它们只对 Apple TV 4K 和 Apple TV HD 设备上的 WebKit 构成威胁. 这些问题可以通过特制的恶意 Web 内容来利用，这些内容会破坏内存中的信息, 这需要在易受攻击的设备上执行任意代码.

第三个也是最严重的零日漏洞 (CVE-2021-30713) 对运行 macOS Big Sur 的设备很危险, 并且是透明度中的权限问题, 同意, 和控制 (TCC) 框架.

该漏洞被信息安全公司的工程师发现 果酱 当他们研究 XCSSET 恶意软件时. 让我提醒您，这个恶意软件是 第一次注意到 去年, 当结果发现 GitHub 上托管的许多 Xcode 项目都感染了它时.

“在最初的发现, 据报道，XCSSET 最显着的特征之一是使用了两个零日漏洞. [首先] 被用来从 Safari 浏览器窃取 cookie, 第二个用于在为开发人员安装 Safari 时绕过请求”, ——研究人员说.

然而, 对 XCSSET 的更详细研究表明，该恶意软件对其武器库中的另一个零日漏洞进行了第三次利用. 打包为 AppleScript, 该漏洞允许恶意软件绕过 TCC (一项 macOS 服务，当应用程序尝试执行侵入性操作时，它会显示弹出窗口并请求权限, 包括使用相机, 麦克风, 屏幕录制, 或击键).

XCSSET 被滥用 CVE-2021-30713 在 macOS 上查找已收到潜在有害权限的其他应用程序的标识符, 然后在其中一个应用程序中注入恶意小程序以执行恶意操作.

“所讨论的漏洞允许攻击者获得完整的磁盘访问权限, 屏幕录制, 和其他未经用户明确同意的权限”, — 警告 Jamf.

尽管 XCSSET 及其分发活动通常具有高度针对性并且主要针对开发人员, 有一种危险，现在其他罪犯也会使用 CVE-2021-30713 因为他们的攻击. 所以, 强烈建议 macOS 用户将其操作系统更新到最新版本 (macOS 大苏尔 11.4).

让我提醒你，我也写过 MountLocker 勒索软件使用 Windows API 来导航网络.