[[402346]]

 蘋果已經(jīng)發(fā)布了安全更新，修補了在野外被利用的三個macOS和tvOS 0 day漏洞攻擊者，前者被XCSSET惡意軟件濫用，以繞過macOS隱私保護。

在這三起漏洞中，蘋果公司表示，他們都知道了“可能已經(jīng)被積極利用”的報道，但并未提供有關(guān)可能利用0 day漏洞的攻擊或威脅行為者的詳細信息。

可用于隱私繞過和代碼執(zhí)行

三個0 day中的兩個(被追蹤為CVE-2021-30663和CVE-2021-30665)影響了Apple TV 4K和Apple TV HD設(shè)備上的WebKit。

Webkit是Apple的開源瀏覽器引擎，其Web瀏覽器和應(yīng)用程序使用Webkit來在其臺式機和移動平臺(包括iOS、macOS、tvOS和iPadOS)上顯示HTML內(nèi)容。

威脅參與者可以使用惡意制作的Web內(nèi)容利用這兩個漏洞，由于內(nèi)存損壞問題，這些內(nèi)容將觸發(fā)未修補設(shè)備上的任意代碼執(zhí)行。

第三個0 day漏洞(被追蹤為CVE-2021-30713)會影響macOS Big Sur設(shè)備，這是在透明度同意和控制(Transparency、Consent和Control，TCC)框架中的許可問題。

TCC框架是一個macOS子系統(tǒng)，可阻止已安裝的應(yīng)用訪問敏感的用戶信息，而無需通過彈出消息請求明確的權(quán)限。

攻擊者可以使用惡意制作的應(yīng)用程序來利用此漏洞，該應(yīng)用程序可能繞過隱私首選項并訪問敏感的用戶數(shù)據(jù)。

XCSSET macOS惡意軟件使用的0 day漏洞

盡管Apple沒有提供有關(guān)如何在攻擊中被濫用的三個0 day的任何詳細信息，但Jamf的研究人員發(fā)現(xiàn)XCSSET惡意軟件使用今天修補的macOS 0 day(CVE-2021-30713)來繞過Apple所設(shè)計的TCC保護，以保護用戶的隱私。

• “XCSSET惡意軟件正在利用這個漏洞，該漏洞允許黑客訪問macOS中需要權(quán)限的部分，例如未經(jīng)同意就能訪問麥克風、網(wǎng)絡(luò)攝影機或錄下整個屏幕畫面。這是默認的設(shè)置。”研究人員說。
• “我們Jamf Protect檢測小組的成員在對XCSSET惡意軟件繼續(xù)分析的過程中發(fā)現(xiàn)，這個漏洞正在被積極利用，之前我們也注意到被檢測到的在野變體顯著上升。檢測小組注意到，一旦安裝到受害者的系統(tǒng)上，XCSSET便專門使用此旁路來獲取偷偷截取受害者的屏幕畫面，而無需其他權(quán)限。”

基本上，在允許任何惡意軟件或其他App錄制屏幕，訪問麥克風或網(wǎng)絡(luò)攝影機，抑或打開用戶存儲之前，macOS都應(yīng)該會先征求用戶的許可才對。但是，該惡意軟件通過將惡意程序代碼注入至合法App以潛入系統(tǒng)中，并規(guī)避掉權(quán)限提示。

XCSSET惡意軟件是最早由趨勢科技在2020年發(fā)現(xiàn)，它專門鎖定Apple開發(fā)人員，特別是他們用來編寫和構(gòu)建App的Xcode項目。在此次活動中，攻擊者利用另外兩個0 day劫持Safari Web bro并注入惡意Javascript有效payload。

趨勢科技研究人員上個月發(fā)現(xiàn)了一個新的XCSSET變體，已更新為可用于最近發(fā)布的Apple設(shè)計的ARM Mac。

0 day漏洞在野利用時間線

今年以來，0 day漏洞越來越頻繁地出現(xiàn)在Apple的安全公告中，其中大多數(shù)漏洞在被修補之前都被標記為已在攻擊中被利用。

本月初，Apple在Webkit引擎中解決了兩個iOS 0 day漏洞，利用這兩個漏洞，攻擊者通過訪問惡意網(wǎng)站即可在易受攻擊的設(shè)備上執(zhí)行任意遠程代碼(RCE)。

蘋果公司還一直在發(fā)布補丁程序，以解決過去幾個月在野外被廣泛利用的0 day漏洞，包括：4月份在macOS中修復的一個漏洞，還有許多其他iOS漏洞也在更早的幾個月中被修復。

去年11月，蘋果公司修補了另外三個影響iPhone、iPad和iPod設(shè)備的iOS 0 day漏洞：遠程代碼執(zhí)行漏洞、內(nèi)核內(nèi)存泄漏和內(nèi)核權(quán)限提升漏洞。

Shlayer惡意軟件利用4月份已被修補的MacOS的0 day漏洞繞過了蘋果的文件隔離、網(wǎng)守和公證安全檢查，從而更加簡單便捷地下載和安裝第二階段的惡意payload。

本文翻譯自：https://www.bleepingcomputer.com/news/security/apple-fixes-three-zero-days-one-abused-by-xcsset-macos-malware/如若轉(zhuǎn)載，請注明原文地址。