苹果修补MacOS中允许Sneaky屏幕截图的零日漏洞

苹果已经修补了MacOS中的一个关键漏洞，该漏洞可能会被利用，在某人不知情的情况下，拍摄某人电脑的屏幕截图，并捕捉他们在应用程序或视频会议上的活动图像。

根据一份发布的报告，苹果公司在周一发布的最新版本MacOS Big Sur 11.4中解决了这个漏洞-这个漏洞是由企业网络安全公司JAMF的研究人员发现的。

根据JAMF博客上的一篇帖子，研究人员表示，他们发现XCSSET间谍软件正在使用该漏洞，跟踪代码为CVE-2021-30713，“专门用于在不需要额外权限的情况下截取用户桌面的屏幕截图”。

研究人员说，这一活动是在对XCSSET进行分析的过程中发现的，“在注意到在野外观察到的检测到的变异显著上升之后”。到目前为止，苹果还没有在CVE数据库的条目中提供有关该漏洞的具体细节。

根据JAMF的帖子，该漏洞是通过绕过透明同意与控制(TCC)框架来实现的，该框架控制应用程序可以访问哪些资源，“比如授予视频协作软件访问网络摄像头和麦克风的权限，以便参与虚拟会议”。

研究人员说：“有问题的漏洞可以让攻击者获得完整的磁盘访问、屏幕录制或其他权限，而不需要用户的明确同意--这是默认行为。”

间谍软件的历史记录：
趋势科技去年8月发现了XCSSET恶意软件，当时研究人员注意到网络罪犯向Xcode开发者项目注入恶意软件，导致感染传播。他们确认该恶意软件是一种名为XCSSET的套件，它可以劫持Safari网络浏览器，并注入各种JavaScript有效负载，这些有效负载可以窃取密码、财务数据和个人信息，部署勒索软件，并执行其他恶意功能。

当时趋势科技的研究人员注意到XCSSET使用两个零日漏洞来做肮脏的工作-一个在Data Vault中，允许它绕过MacOS的系统完整性保护(SIP)功能；另一个在Safari for WebKit Development中，允许通用跨站点脚本(UXSS)。

根据JAMF的说法，现在XCSSET可以利用的漏洞列表中似乎添加了第三个零日漏洞。JAMF详细描述了间谍软件如何利用这个漏洞绕过TCC。

在深入调查间谍软件后，JAMF Protect检测团队成员注意到一个名为“Screen_sim.applescript”的AppleScript模块，其中包含一个名为“verifyCapturePermission”的检查，用于搜索有权从已安装应用程序列表中捕获屏幕截图的应用程序。该列表源自对以下软件AppID的早期检查，恶意软件将这些AppID称为“donorApps”。

研究人员写道：“不出所料，目标应用程序ID列表中的所有应用程序都是用户作为其正常操作的一部分定期授予屏幕共享权限的应用程序。”“然后，恶意软件使用以下mdfind命令-基于命令行的Spotlight版本-来检查受害者的设备上是否安装了AppID。”

如果在系统上找到这些ID中的任何一个，该命令将返回已安装应用程序的路径，并且XCSSET会利用此信息创建一个自定义的AppleScript应用程序，并将其注入已安装的原应用程序中。

例如，如果在系统上发现虚拟会议应用Zoom(Zoom.us.app)，恶意软件会将自己放在这样的位置：/Applications/zoom.us.app/Contents/MacOS/avatarde.app.。研究人员说，如果受害者机器运行的是MacOS11或更高版本，它就会用临时签名或由计算机本身签名的签名来签署头像应用程序。

然后，XCSSET可以在受害者使用Zoom时截屏或录制屏幕，而无需用户的明确同意，直接从Zoom父应用程序继承这些TCC权限。研究人员发现，XCSSET还可以利用该漏洞劫持屏幕分享以外的其他权限。

MacOS威胁不断上升。
就在苹果遭遇最新安全危机之前，一名苹果高管上周三在加州一家法院作证时，公开哀叹针对Mac平台的恶意软件水平，称这是“不可接受的”，原因是堡垒之夜的制造商Epic Games(Alipay)对苹果提起了诉讼。

苹果软件工程负责人克雷格·费德里吉(Craig Federighi)以这一威胁级别为借口，为苹果严格限制在其平台上运行并在iOS应用商店内销售的软件提供借口。

事实上，到目前为止，2021年对苹果的安全来说不是那么出色的一年。本月早些时候，苹果发布了四个针对iOS、MacOS和WatchOS的计划外更新，以修补其WebKit浏览器引擎的缺陷。

在此之前一周，苹果在其MacOS中修补了一个零日漏洞，该漏洞可以绕过关键的反恶意软件功能，而臭名昭著的Mac Threat Shlayer广告软件投放程序的一个变体已经利用了这个漏洞好几个月。

今年伊始，苹果取消了一项有争议的MacOS功能，该功能允许一些苹果应用绕过内容过滤器、VPN和第三方防火墙。他们很快进行了紧急更新，修补了iOS中发现的三个零日漏洞。去年11月的一次重大软件更新已经修复了三个正在被积极利用的漏洞。