苹果TCC绕过0 day漏洞操纵
发布时间:2021-06-09 09:48:29 所属栏目:安全 来源:互联网
导读:近日,Jamf研究人员在XCSSET 恶意软件中发现了一个苹果TCC 0 day漏洞利用,攻击者利用该0 day漏洞可以绕过苹果的TCC安全保护。 在最新发布的macOS 11.4版本中,苹果修复了一个绕过TCC(Transparency Consent and Control,透明度同意和控制)框架的0 day漏洞利
|
近日,Jamf研究人员在XCSSET 恶意软件中发现了一个苹果TCC 0 day漏洞利用,攻击者利用该0 day漏洞可以绕过苹果的TCC安全保护。
在最新发布的macOS 11.4版本中,苹果修复了一个绕过TCC(Transparency Consent and Control,透明度同意和控制)框架的0 day漏洞利用——CVE-2021-30713。TCC是控制应用可以访问系统中的哪些资源的,比如授予软件对摄像头和麦克风的访问权限。攻击者利用该漏洞可以在无需用户明示同意的情况下获取硬盘的访问权限、录屏和其他权限。
Jamf研究人员分析发现XCSSET 也软件使用该漏洞利用来让TCC以在无需用户同意和权限的情况下实现用户桌面截屏。
绕过漏洞利用
Jamf研究人员在分析XCSSET 恶意软件样本时发现了一个名为screen_sim.applescript 的AppleScript模块。该模块中中有一个名为verifyCapturePermissions 的检查,并将应用ID作为一个参数。
研究人员查看日志发现,恶意AppleScript 模块好像在寻找有截图权限的应用。并且成功找到了这样的APP。
研究人员进一步分析verifyCapturePermissions 函数,发现该脚本在已安装的应用列表中检查截屏权限。该列表是来自对以下软件appID的较早检查,被恶意软件称为“ donorApps”。
被恶意软件攻击的目标应用程序ID列表是用户经常授予屏幕共享权限作为其正常工作一部分的所有应用程序。然后,该恶意软件使用以下mdfind命令检查受害者的设备上是否安装了appID。
如果在系统上找到任一个appID,该命令将返回已安装应用程序的路径。恶意软件利用这些信息可以制作一个自定义的AppleScript应用程序,并将其注入已安装的donor应用程序中。
脚本会按照以下顺序来执行动作:
(1) 从恶意软件作者的C2 服务器下载XCSSET AppleScript截屏模块到本地~/Library/Caches/GameKit 文件夹;
(2) 通过使用osacompile 命令将截屏模块转化称一个基于AppleScript的应用——avatarde.app。以这种方式编译任何AppleScript时,都会在新创建的应用程序捆绑包的/ Contents / MacOS /目录中放置一个名为“ applet”的可执行文件,并且该applet将要执行的脚本可以位于/ Contents / Resources / Scripts / main中。
(3) 然后,新创建的Info.plist将会被plutil二进制文件修改,将首选项设置LSUIElement修改为true。这一操作使得应用程序可以作为后台进程运行,对用户隐藏自己的存在。
(4) 然后下载一个空白图标,并将其应用于应用程序。
 (编辑:帝国网站管理系统) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
