Apple ha rilasciato degli aggiornamenti di sicurezza per correggere tre vulnerabilità zero-day in macOS e tvOS già ampiamente sfruttate dai criminali. Tra queste, una era stata sfruttata dal malware XCSSET che aggira le protezioni della privacy di macOS per catturare screenshot del sistema.
Apple ha affermato di essere a conoscenza dei report secondo cui tutte e tre le vulnerabilità “potrebbero essere state attivamente sfruttate”, ma non ha fornito dettagli sugli attacchi o sui criminali informatici che avrebbero sfruttato queste zero-day.
Due delle tre vulnerabilità (identificate come CVE-2021-30663 e CVE-2021-30665) hanno impatto su Webkit sui dispositivi AppleTV 4K e Apple TV HD. Webkit è il motore di rendering del browser Safari utilizzato sia sulle piattaforme desktop che mobili, inclusi iOS, macOS, tvOS e iPadOS. Le due vulnerabilità potrebbero essere sfruttate utilizzando contenuti web dannosi che innescano l’esecuzione di un codice arbitrario sui dispositivi privi di patch.
La terza vulnerabilità (identificata come CVE-2021-30713) influisce invece sui dispositivi macOS Big Sur ed è un problema di autorizzazione nel framework Transparency, Consent and Control (TCC). Questo framework impedisce alle applicazioni di accedere a informazioni sensibili dell’utente senza chiedere le giuste autorizzazioni tramite messaggio pop-up. I criminali informatici potevano quindi sfruttare la vulnerabilità utilizzando applicazioni pericolose che aggiravano le preferenze sulla privacy, accedendo così ai dati sensibili degli utenti.
Sebbene Apple non abbia diffuso alcun dettaglio su come siano stati sfruttati i tre zero-day, i ricercatori di Jamf hanno scoperto che la vulnerabilità CVE-2021-30713 è stata sfruttata dal malware XCSSET per aggirare le protezioni TCC di Apple.
“L’exploit in questione potrebbe consentire a un utente malintenzionato di ottenere l’accesso completo al disco, la registrazione dello schermo o altre autorizzazioni senza richiedere il consenso esplicito dell’utente.” hanno affermato i ricercatori. “Il team di rilevamento ha notato che una volta installato sul sistema della vittima, XCSSET utilizzava questo bypass specificamente allo scopo di acquisire screenshot del desktop dell’utente senza richiedere autorizzazioni aggiuntive”.
Il malware XCSSET è stato individuato per la prima volta da Trend Micro, l’anno scorso, e recentemente è stata scoperta una nuova variante aggiornata per funzionare anche sui Mac ARM progettati da Apple.