Apple vá 2 lỗ hổng zero-day liên quan đến tvOS và 1 lỗ hổng liên quan đến quyền riêng tư của macOS

Bản cập nhật bảo mật để vá ba lỗ hổng zero-day macOS và tvOS của Apple đã được phát hành, với lỗ hổng trước đây bị phần mềm độc hại XCSSET lạm dụng để vượt qua các biện pháp bảo vệ quyền riêng tư của macOS.

Trong cả ba trường hợp, Apple cho biết họ biết rằng các vấn đề bảo mật "có thể đã bị khai thác mạnh mẽ", nhưng không cung cấp thông tin chi tiết về các cuộc tấn công hoặc các tác nhân đe dọa có thể đã khai thác lỗ hổng zero-day.

Hai trong số ba lỗ hổng zero-day (CVE-2021-30663 và CVE-2021-30665 ) ảnh hưởng đến WebKit trên các thiết bị Apple TV 4K và Apple TV HD.

Webkit là công cụ kết xuất trình duyệt của Apple được các trình duyệt web và ứng dụng của Apple sử dụng để hiển thị nội dung HTML trên nền tảng máy tính để bàn và di động, bao gồm iOS, macOS, tvOS và iPadOS.

Các tác nhân đe dọa có thể khai thác hai lỗ hổng này bằng cách sử dụng nội dung web được chế tạo độc hại. Nó sẽ kích hoạt quá trình thực thi mã tùy ý trên các thiết bị chưa được vá do sự cố hỏng bộ nhớ.

Lỗ hổng zero-day thứ 3 (CVE-2021-30713) ảnh hưởng đến các thiết bị macOS Big Sur. Đây là vấn đề về sự cho phép, đồng ý được tìm thấy trong khuôn khổ Minh bạch, Đồng ý và Kiểm soát (TCC).

Khung TCC là một hệ thống macOS chặn các ứng dụng đã cài đặt truy cập vào thông tin nhạy cảm của người dùng mà không yêu cầu sự cho phép rõ ràng thông qua một thông báo được bật.

Những kẻ tấn công có khả năng khai thác lỗ hổng này bằng cách sử dụng một ứng dụng độc hại có thể bỏ qua các tùy chọn Quyền riêng tư và truy cập vào dữ liệu nhạy cảm của người dùng.

Mặc dù Apple không cung cấp bất kỳ thông tin chi tiết nào về việc 3 zero-day đã bị lạm dụng như thế nào trong các cuộc tấn công, các nhà nghiên cứu của nhóm Jamf đã phát hiện ra rằng zero-day của macOS (CVE-2021-30713) được vá hôm nay đã bị phần mềm độc hại XCSSET sử dụng để phá vỡ các biện pháp bảo vệ TCC của Apple được thiết kế nhằm bảo vệ quyền riêng tư của người dùng.

"Việc khai thác được đề cập có thể cho phép kẻ tấn công có được Quyền truy cập, ghi màn hình hoặc các quyền khác mà không cần sự đồng ý rõ ràng của người dùng - đó là hành vi mặc định", các nhà nghiên cứu cho biết.

Các nhà nghiên cứu phát hiện ra lỗ hổng này đang bị khai thác mạnh mẽ trong quá trình phân tích bổ sung về phần mềm độc hại XCSSET, sau khi ghi nhận sự gia tăng đáng kể của các biến thể được phát hiện trong tự nhiên.

Nhóm phát hiện lưu ý rằng, sau khi được cài đặt trên hệ thống của nạn nhân, XCSSET đã được sử dụng cho mục đích chụp ảnh màn hình máy tính để bàn của người dùng mà không yêu cầu thêm quyền.

Phần mềm độc hại XCSSET lần đầu tiên được phát hiện bởi Trend Micro vào năm ngoái trong một chiến dịch nhắm mục tiêu người dùng Mac thông qua các dự án Xcode bị nhiễm, sử dụng hai zero-day khác để chiếm quyền điều khiển web Safari và đưa các tải Javascript độc hại.

Tháng trước, một biến thể XCSSET mới đã được các nhà nghiên cứu của Trend Micro phát hiện, được cập nhật để hoạt động trên các máy Mac ARM do Apple thiết kế mới phát hành gần đây.

Các lỗ hổng zero-day đã xuất hiện ở Apple ngày càng thường xuyên hơn trong suốt năm nay. Hầu hết đều bị khai thác trong các cuộc tấn công trước khi Apple tung các bản vá.

Đầu tháng này, Apple đã giải quyết hai lỗ hổng zero-day iOS trong công cụ Webkit cho phép thực thi mã từ xa (RCE) tùy ý trên các thiết bị dễ bị tấn công chỉ bằng cách truy cập các trang web độc hại.

Công ty cũng đã phát hành các bản vá cho một loạt các lỗi zero-day được khai thác trong tự nhiên trong vài tháng qua: một lỗi đã được sửa ở macOS vào tháng 4 và nhiều lỗ hổng iOS khác đã được sửa trong những tháng trước đó .

Công ty đã vá ba lỗi zero-day khác ở iOS - lỗi thực thi mã từ xa, rò rỉ bộ nhớ nhân và lỗi báo cáo đặc quyền nhân -  ảnh hưởng đến các thiết bị iPhone, iPad và iPod vào tháng 11.

Phần mềm độc hại Shlayer đã sử dụng macOS zero-day được vá vào tháng 4 để vượt qua kiểm tra bảo mật File Quarantine, Gatekeeper và Not Notation của Apple như một cách dễ dàng để tải xuống và cài đặt các tải trọng độc hại giai đoạn hai.