Apple corregge tre zero-day, una consente di bypassare le protezioni privacy di macOS - Cyber Security 360

L'ANALISI TECNICA

Apple corregge tre zero-day, una consente di bypassare le protezioni privacy di macOS

Apple ha rilasciato gli aggiornamenti di sicurezza per correggere tre vulnerabilità zero-day in macOS, iOS e tvOS già sfruttate attivamente dai cyber criminali: una di queste è stata abusata dal malware XCSSET per aggirare le protezioni privacy di macOS e rubare screenshot del desktop. Ecco i dettagli

25 Mag 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Sono tre le vulnerabilità zero-day in macOS, iOS, watchOS, tvOS e nel browser Safari che Apple ha corretto con altrettanti aggiornamenti di sicurezza.

Tutti e tre i difetti di sicurezza risultano essere stati già sfruttati in natura, anche se al momento la casa di Cupertino non ha pubblicato specifiche tecniche che potrebbero aiutare a ricostruire i dettagli degli attacchi.

In particolare, la vulnerabilità zero-day identificata in macOS Big Sur è stata già abusata dal malware XCSSET per bypassare le protezioni privacy del sistema operativo e consentire agli attaccanti di catturare screenshot del desktop o eseguire codice arbitrario sulla macchina target.

I dettagli della vulnerabilità zero-day in macOS

Tracciata come CVE-2021-30713, la vulnerabilità zero-day in macOS è stata identificata in una cattiva gestione delle autorizzazioni utente nel framework TCC (Transparency, Consent, and Control), utilizzato dal sistema operativo per tenere traccia dei consensi forniti dagli utenti alle differenti app.

Da un rapporto indipendente pubblicato dai ricercatori di sicurezza Stuart Ashenbrenner, Jaron Bradley e Ferdous Saljooki della software house Jamf si evince che la vulnerabilità è di tipo “bypass”, caratteristica questa che il malware XCSSET ha sfruttato per propagarsi attraverso progetti Xcode IDE modificati ospitati su repository GitHub e per rilasciare pacchetti dannosi in app legittime installate sul sistema di destinazione.

L’exploit della vulnerabilità zero-day potrebbe consentire a un utente malintenzionato di ottenere l’accesso completo al disco rigido della macchina target, di effettuare una registrazione dello schermo e ottenere altre autorizzazioni di sistema senza richiedere il consenso esplicito dell’utente.

Come funziona il malware XCSSET

In particolare, il malware XCSSET è configurato per acquisire le autorizzazioni di cattura dello schermo da un elenco di applicazioni installate nel sistema target, tra cui Zoom, Discord, WhatsApp, Slack, TeamViewer, Upwork, Skype e Parallels Desktop.

Per fare ciò, XCSSET inietta il codice malevolo (“avatarde.app”) nella cartella d’installazione dell’applicazione ereditando, così, le autorizzazioni necessarie per svolgere i suoi compiti malevoli.

Recentemente, XCSSET è salito agli onori della cronaca dopo che una sua nuova variante ha preso di mira i nuovi chip M1 di Apple per rubare le informazioni dei wallet associati alle app di mining di criptovalute. Una delle sue funzioni principali è quella di trafugare i cookie del browser Safari, installare una versione per sviluppatori dell’app e scaricare backdoor JavaScript dal suo server di comando e controllo sul computer della vittima.

Le altre vulnerabilità zero-day corrette da Apple

Come dicevamo all’inizio, Apple ha corretto altre due vulnerabilità zero-day già sfruttate attivamente in attacchi mirati: CVE-2021-30663 e CVE-2021-30665.

In questo caso, i difetti di sicurezza hanno impatto su Webkit, il motore di rendering del browser Safari installato sui dispositivi Apple TV 4K e Apple TV HD.

Ricordiamo che già a inizio mese Apple aveva aggiornato le versioni di Webkit per macOS, iOS e watchOS per correggere altre vulnerabilità zero-day che avrebbero potuto consentire ad un attaccante di eseguire codice arbitrario sui dispositivi target e prenderne il controllo inducendo semplicemente la vittima a visitare un sito Web dannoso.

Gli attori delle minacce potrebbero sfruttare le due nuove vulnerabilità utilizzando contenuti web malevoli appositamente creati per innescare l’esecuzione di codice arbitrario su dispositivi non aggiornati:

  • CVE-2021-30663: vulnerabilità di tipo integer overflow in WebKit che potrebbe essere sfruttata per ottenere l’esecuzione di codice arbitrario durante l’elaborazione di contenuti web malevoli;
  • CVE-2021-30665: problema di corruzione della memoria in WebKit che potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di contenuti web malevoli.

Come mitigare i rischi di un attacco

La raccomandazione agli utenti dei dispositivi Apple è, ovviamente, quella di aggiornarli alle ultime versioni del sistema operativo per mitigare il rischio associato alle vulnerabilità zero-day analizzate nell’articolo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4