Apple Memperbaiki Kerentanan Hari Nol macOS, Disalahgunakan oleh Malware XCSSET macOS

Apple telah merilis pembaruan keamanan untuk berbagai produknya, termasuk tambalan untuk tiga kerentanan zero-day macOS dan tvOS. Patch tersebut terdiri dari perbaikan kerentanan zero-day yang telah dieksploitasi di alam liar selama hampir setahun oleh geng malware XCSSET. 

Apple mengatakan pihaknya menyadari tuduhan bahwa kelemahan keamanan "mungkin telah dieksploitasi secara aktif" dalam ketiga kasus tersebut, tetapi tidak menjelaskan secara rinci tentang pelaku penyerangan atau ancaman yang mungkin telah mengeksploitasi zero-days. 

WebKit di perangkat Apple TV 4K dan Apple TV HD dipengaruhi oleh dua dari tiga zero-days (CVE-2021-30663 dan CVE-2021-30665). Webkit adalah mesin rendering HTML yang digunakan oleh browser web dan aplikasi Apple di desktop dan platform selulernya, termasuk iOS, macOS, tvOS, dan iPadOS. Aktor pengancam dapat menggunakan konten web yang dibuat secara berbahaya untuk menyerang dua kerentanan, yang akan memungkinkan eksekusi kode arbitrer pada perangkat yang belum ditambal karena masalah kerusakan memori. 

Hari-nol ketiga (CVE-2021-30713) adalah masalah izin yang ditemukan dalam kerangka kerja Transparansi, Persetujuan, dan Kontrol (TCC) yang memengaruhi perangkat macOS Big Sur. Kerangka kerja TCC adalah subsistem macOS yang mencegah aplikasi terinstal mengakses informasi sensitif pengguna tanpa meminta izin eksplisit dari pengguna melalui pesan pop-up. Aplikasi yang dibuat secara berbahaya dapat digunakan untuk mengeksploitasi masalah ini, melewati pengaturan Privasi dan mendapatkan akses ke data pengguna yang sensitif. 

Meskipun Apple tidak memberikan banyak detail tentang bagaimana tiga hari nol dieksploitasi dalam serangan, peneliti Jamf menemukan bahwa tambalan zero-day macOS (CVE-2021-30713) dimanfaatkan oleh malware XCSSET untuk melampaui langkah-langkah privasi TCC Apple. . 

Menurut para peneliti, "eksploitasi yang dipermasalahkan dapat memungkinkan penyerang mendapatkan Akses Disk Penuh, Perekaman Layar, atau izin lainnya tanpa memerlukan persetujuan eksplisit pengguna - yang merupakan perilaku default." 

“Kami, anggota tim pendeteksi Jamf Protect, menemukan bypass ini secara aktif dieksploitasi selama analisis tambahan malware XCSSET, setelah mencatat peningkatan signifikan dari varian yang terdeteksi yang diamati di alam liar. Tim pendeteksi mencatat bahwa setelah dipasang di sistem korban, XCSSET menggunakan pintasan ini secara khusus untuk tujuan mengambil tangkapan layar dari desktop pengguna tanpa memerlukan izin tambahan. ” 

Tim Peneliti Seluler dan Respons Ancaman Mac dari Trend Micro pertama kali mendeteksi XCSSET pada Agustus 2020. Menurut para peneliti, kerentanan dapat digunakan untuk menyediakan aplikasi berbahaya dengan izin seperti akses disk dan perekaman layar. Akibatnya, pelaku ancaman akan dapat mengambil tangkapan layar dari PC yang terpengaruh. 

Bulan lalu, Trend Micro menemukan versi XCSSET baru yang ditingkatkan untuk bekerja dengan Mac ARM rancangan Apple yang baru diluncurkan. Kerentanan CVE-2021-30713 ditemukan tak lama setelah Craig Federighi, kepala perangkat lunak Apple menyatakan bahwa macOS memiliki tingkat malware yang "tidak dapat diterima", yang ia tautkan ke keragaman sumber perangkat lunak. 

Apple membahas dua hari nol iOS di mesin Webkit awal bulan ini, memungkinkan eksekusi kode jarak jauh (RCE) arbitrer pada perangkat yang rentan hanya dengan mengunjungi situs web berbahaya. Selain itu, Apple telah merilis perbaikan untuk sejumlah bug zero-day yang telah dieksploitasi di alam liar dalam beberapa bulan terakhir, termasuk yang telah diselesaikan di macOS pada bulan April dan banyak kerentanan iOS lainnya yang telah diselesaikan pada bulan-bulan sebelumnya. .