Apple a corrigé une faille exploitée par le malware XCSSET

0

Apple a publié des mises à jour de sécurité pour corriger trois vulnérabilités zero-day de macOS et tvOS exploités dans la nature, la première étant exploitée par le malware XCSSET pour contourner les protections de confidentialité de macOS.

Dans les trois cas, Apple a déclaré qu’ils étaient au courant des rapports selon lesquels les problèmes de sécurité «pourraient avoir été activement exploités», mais ils n’ont pas fourni de détails sur les attaques ou les pirates informatique qui auraient pu exploiter les failles zero-day.

Exploitable pour le contournement de confidentialité et l’exécution de code

Deux des trois zero-day (identifiés comme CVE-2021-30663 et CVE-2021-30665) ont un impact sur WebKit sur les appareils Apple TV 4K et Apple TV HD.

Webkit est le moteur de rendu de navigateur d’Apple utilisé par ses navigateurs Web et ses applications pour traiter le contenu HTML sur ses plates-formes de bureau et mobiles, notamment iOS, macOS, tvOS et iPadOS.

Les pirates informatiques pourraient exploiter les deux vulnérabilités en utilisant un contenu Web conçu de manière malveillante qui déclencherait l’exécution de code arbitraire sur des appareils non corrigés en raison d’un problème de corruption de la mémoire.

Le troisième zero-day (identifié comme CVE-2021-30713) affecte les appareils macOS Big Sur, et il s’agit d’un problème d’autorisation trouvé dans le cadre de transparence, de consentement et de contrôle (TCC).

Le framework TCC est un sous-système macOS qui empêche les applications installées d’accéder aux informations sensibles des utilisateurs sans demander des autorisations explicites via un message contextuel.

Les attaquants pourraient exploiter cette vulnérabilité en utilisant une application conçue de manière malveillante qui pourrait contourner les préférences de confidentialité et accéder aux données sensibles des utilisateurs.

Une faille zero-day utilisée par le malware XCSSET de macOS

Bien qu’Apple n’ait fourni aucun détail sur la manière dont les trois failles zero-day ont été utilisés de manière abusive dans les attaques, les chercheurs de Jamf ont découvert que la faille zero-day de macOS (CVE-2021-30713) était utilisé par le malware XCSSET pour contourner les protections TCC d’Apple pour protéger la vie privée des utilisateurs.

« L’exploit en question pourrait permettre à un attaquant d’obtenir un accès complet au disque, un enregistrement d’écran ou d’autres autorisations sans nécessiter le consentement explicite de l’utilisateur – ce qui est le comportement par défaut », ont déclaré les chercheurs.

«Nous, membres de l’équipe de détection de Jamf Protect, avons découvert que ce contournement était activement exploité lors d’une analyse supplémentaire du malware XCSSET, après avoir noté une augmentation significative des variantes détectées observées dans la nature.

«L’équipe de détection a noté qu’une fois installé sur le système de la victime, XCSSET utilisait ce contournement spécifiquement pour prendre des captures d’écran du bureau de l’utilisateur sans nécessiter d’autorisations supplémentaires.»

Le malware XCSSET a été repéré pour la première fois par Trend Micro l’année dernière [PDF] dans le cadre d’une campagne ciblant les utilisateurs de Mac via des projets Xcode infectés, utilisant deux autres zero-day pour détourner le navigateur Web Safari et injecter des charges utiles Javascript malveillantes.

Une nouvelle variante de XCSSET a été découverte par les chercheurs de Trend Micro le mois dernier, mise à jour pour fonctionner sur les Mac ARM récemment lancés par Apple.

Une pluie de zero-day exploitée dans la nature

Des vulnérabilités zero-day sont apparues de plus en plus souvent dans les avis de sécurité d’Apple tout au long de cette année, la plupart d’entre elles étant également étiquetées comme exploitées dans des attaques avant d’être corrigées.

Plus tôt ce mois-ci, Apple a abordé deux failles zero-day d’iOS dans le moteur Webkit permettant l’exécution arbitraire de code à distance sur des appareils vulnérables simplement en visitant des sites Web malveillants.

La société a également déployé des correctifs pour plusieurs failles zero-day exploitées dans la nature au cours des derniers mois: une corrigée dans macOS en Avril et de nombreuses autres vulnérabilités iOS corrigées au cours des mois précédents.

La société a corrigé trois autres zero-days iOS – un bogue d’exécution de code à distance, une fuite de mémoire du noyau et une faille d’élévation des privilèges du noyau – affectant les appareils iPhone, iPad et iPod en Novembre.

Le logiciel malveillant Shlayer exploite la faille zero-day de macOS qui a été patchée en Avril pour contourner les contrôles de sécurité de File Quarantine, Gatekeeper et Notarization d’Apple afin de télécharger et d’installer facilement des charges utiles malveillantes de deuxième étape.

Laisser un commentaire