0x00 漏洞概述

2021年以来,Apple至少修复了12个被在野利用的0day漏洞,其中一些漏洞被已知的恶意软件利用来绕过安全检查或未授权访问。

0x01 漏洞详情

多个在野利用0day

2021年Apple修复的0day中,大多涉及Webkit引擎。WebKit 是Apple 开发的浏览器引擎,主要用于其 Safari Web浏览器以及所有 iOS Web浏览器。这些漏洞披露的时间线如下:

2021年1 月,Apple修复了被在野利用的iOS内核中的竞争条件错误(跟踪为 CVE-2021-1782)和两个 WebKit 漏洞(跟踪为 CVE-2021-1870 和 CVE-2021-1871)。

2021年3月,Apple发布安全更新,修复了一个iOS 0day漏洞(CVE-2021-1879)。

2021年4月,Apple修复了iOS 0day漏洞(CVE-2021-30661)和macOS 0day漏洞(CVE-2021-30657)。其中,CVE-2021-30657被Shlayer 恶意软件利用来绕过 Apple 的File Quarantine、Gatekeeper 和 Notarization 安全检查。

2021年5月,Apple发布的安全更新修复了以下4个0day漏洞,其中3个漏洞是在Webkit引擎中发现的,只需通过访问恶意网站就可以在受影响设备上远程执行任意代码。Apple官方表示,这些漏洞已发现在野利用:

CVE-2021-30663:Webkit整数溢出漏洞

CVE-2021-30665:Webkit内存破坏漏洞

CVE-2021-30666:Webkit缓冲区溢出漏洞

CVE-2021-3071:TCC中的隐私绕过和代码执行漏洞该漏洞被 XCSSET 恶意软件利用,攻击者可以利用此漏洞绕过 Apple 旨在保护其用户隐私的 TCC 保护,最终可以未授权访问、控制设备、录制屏幕或获得其它权限。

2021年6月,Apple发布了带外 iOS 更新(iOS 12.5.4 补丁),修复了WebKit 引擎中可能已被在野利用的2个0day漏洞(CVE-2021-30761和 CVE-2021-30762)。这些漏洞影响了 2013 年至 2018 年间发布的第六代 Apple iPhone、iPad 和 iPod touch设备,攻击者可以利用这些漏洞执行任意代码。

恶意软件

Shlayer和XCSSET恶意软件是已知的利用Apple 0day漏洞发起攻击的恶意软件。

近两年来,Shlayer木马一直是MacOS平台上最常见的恶意软件,十分之一的MacOS用户受到它的攻击,占该操作系统检测到攻击行为的30%。第一批样本发现于2018年2月,此后收集了近32000个不同的木马恶意样本,并确定了143个C&C服务器。

自发现以来,Shlayer使用的算法几乎没有变化,活动行为保持平稳。从技术角度来看,Shlaye是一个相当普通的恶意软件。在所有变体中,只有最新的木马下载程序OSX.Shlayer.e与众不同,此恶意软件的变体是用Python编写的,其算法也有不同。详情可以参考2020年1月卡巴斯基官方发布的分析报告。

XCSSET最初是趋势科技在2020年8月发现的一款Mac恶意软件,它通过Xcode项目传播,并利用两个0day漏洞来从目标系统窃取敏感信息并发起勒索软件攻击。

2021年04月,趋势科技发现了一个新的 XCSSET 变体。重新设计的XCSSET主要针对M1、QQ、微信和加密货币,并可以窃取主流应用程序数据(如Evernote、Skype、Notes、QQ、微信和Telegram),还会捕捉屏幕截图,并将被盗的文档传输到攻击者的服务器。趋势科技在其分析报告中表示,XCSSET恶意软件利用Safari的开发版本从C&C服务器加载恶意的Safari框架和相关的JavaScript后门。

2021年3月,卡巴斯基研究人员发现了XCSSET的新变体,该变体是针对苹果新M1芯片的设备编译的,但和趋势科技分析的样本有所不同。

Apple自M1芯片发布之后,遭到了越来越多的恶意软件攻击,比如首个针对M1芯片的恶意软件是广告分发应用程序GoSearch22,于2021年2月19日被披露;以及不久之后被披露的Silver Sparrow恶意软件,据说其感染了153个国家的29139个macOS系统。

0x02 处置建议

现今,恶意软件和攻击者通常会利用常见设备和应用中的安全漏洞发起攻击,尤其是0day漏洞被检测到在野利用的情况越来越多,这将为企业和个人带来严重的安全风险。针对这种情况,建议应用以下安全措施:

定期更新软件、程序和应用程序,确保应用程序是最新的,以保护系统免受漏洞利用。

定期使用3-2-1规则备份重要文件:以两种不同的文件格式创建三个备份副本,其中一个备份位于单独的位置。

如果已经成为勒索软件受害者,切勿支付赎金。它不能保证能取回数据,但会鼓励犯罪分子继续其活动。相反,应将事件报告给您当地的执法机构。可以试着在互联网上找到一个解密器,例如:https://www.nomoreransom.org/en/index.html。

0x03 参考链接

https://www.bleepingcomputer.com/news/security/apple-fixes-ninth-zero-day-bug-exploited-in-the-wild-this-year/?

https://securelist.com/shlayer-for-macos/95724/

https://www.trendmicro.com/en_us/research/20/h/xcsset-mac-malware--infects-xcode-projects--uses-0-days.html

https://www.trendmicro.com/en_us/research/21/d/xcsset-quickly-adapts-to-macos-11-and-m1-based-macs.html

https://documents.trendmicro.com/assets/pdf/XCSSET_Technical_Brief.pdf

0x04 时间线

2021-06-18 VSRC发布安全通告

0x05附录

CVSS评分标准官网:http://www.first.org/cvss/

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。