Компания Apple выпустила обновления безопасности для ряда своих продуктов и исправила сразу три уязвимости нулевого дня в macOS и tvOS, которые уже использовали хакеры. Одна из проблем была взята на вооружение малварью XCSSET с целью обхода защитных механизмов macOS.
Во всех трех случаях Apple предупреждает, что проблемы «могли активно эксплуатироваться» злоумышленниками, однако никаких подробностей об этих атаках или преступниках в компании пока не сообщают.
Две из трех уязвимостей (CVE-2021-30663 и CVE-2021-30665 ) можно назвать менее опасными, так как они представляли угрозу только для WebKit на устройствах Apple TV 4K и Apple TV HD. Эти проблемы можно было использовать через специально подготовленный вредоносный веб-контент, который приводил к повреждению информации в памяти, что влекло за собой выполнение произвольного кода на уязвимых устройствах.
Третий и наиболее серьезный баг нулевого дня (CVE-2021-30713) опасен для устройств под управлением macOS Big Sur, и представляет собой проблему с разрешениями во фреймворке Transparency, Consent, and Control (TCC).
Уязвимость была обнаружена инженерами ИБ-компании Jamf, когда те изучали малварь XCSSET. Напомню, что данный вредонос был впервые замечен еще в прошлом году, когда выяснилось, что им заражены многие проекты Xcode, размещенные на GitHub.
«При первоначальном обнаружении сообщалось, что одной из наиболее примечательных особенностей XCSSET является использование двух эксплоитов нулевого дня. [Первый] использовался для хищения файлов cookie из браузера Safari, а второй для обхода запросов при установке Safari для разработчиков», — рассказывают исследователи.
Однако более детальное изучение XCSSET выявило, что в арсенале вредоноса был третий эксплоит для еще одной уязвимости нулевого дня. Упакованный как AppleScript, эксплоит позволял малвари обойти TCC (службу macOS, которая показывает всплывающие окна и запрашивает разрешения всякий раз, когда приложение пытается выполнить навязчивое действие, включая использование камеры, микрофона, запись экрана или нажатий клавиш).
XCSSET злоупотребляла CVE-2021-30713, чтобы находить в macOS идентификаторы других приложений, получивших потенциально опасные разрешения, а затем внедряла вредоносный апплет внутрь одного из этих приложений, чтобы затем выполнять вредоносные действий.
«Рассматриваемый эксплоит позволял злоумышленникам получить полный доступ к диску, запись экрана и другие разрешения без явного согласия пользователя», — предупреждают в Jamf.
Хотя XCSSET и кампании по ее распространению обычно носят узконаправленный характер и в основном нацелены на разработчиков, существует опасность того, что теперь другие преступники тоже станут применять CVE-2021-30713 для своих атак. Поэтому пользователям macOS настоятельно рекомендуют обновить свою ОС до последней версии (macOS Big Sur 11.4).
