Malware nutzt Zero-Day-Exploit, um Screenshots von den Macs der Opfer zu machen

Cyber Security News

Ein Apple Store in Hongkong. (ChIfcapsho, CC BY-SA 3.0 https://creativecommons.org/licenses/by-sa/3.0, via Wikimedia Commons)

Apple hat eine Schwachstelle gepatcht, die aktiv von Malware-Akteuren ausgenutzt wurde, um das Transparency Consent and Control (TCC)-Framework zu umgehen, so dass sie Screenshots von den Computer-Desktops infizierter Opfer machen konnten, ohne diese erst zur Erteilung von Berechtigungen überreden zu müssen.

TCC-Umgehungen sind eine ernste Angelegenheit. Da das TCC-System kontrolliert, auf welche Ressourcen und Tools verschiedene Anwendungen zugreifen können, hätte diese spezielle Umgehung den Angreifern eine Vielzahl bösartiger Verhaltensweisen ermöglichen können, die über Screenshots hinausgehen, so die Forscher von Jamf, die die Schwachstelle entdeckt haben.

“Einige unserer Tests haben gezeigt, dass derselbe Exploit verwendet werden könnte, um Eingabeaufforderungen zu umgehen, die angezeigt werden sollen, wenn eine Anwendung auf das Mikrofon und die Webcam zugreift, sowie Anwendungen, die Eingabeaufforderungen anzeigen sollen, wenn sie versuchen, auf die persönlichen Dateien und Ordner eines Benutzers zuzugreifen”, sagte Jaron Bradley, Manager, MacOS-Erkennungen, in einem E-Mail-Interview mit SC Media.

“Das bedeutet, dass ein Akteur zum Beispiel Ransomware erstellen könnte, die diese Umgehung ausnutzt und geschützte Systemdateien und -ordner ohne Wissen des Benutzers verschlüsselt”, fügte Erika Noeremberg, Senior Threat Intelligence Analyst bei Malwarebytes, hinzu. “Dieses Potenzial und die breite Palette an Zugriffsmöglichkeiten, die es erlaubt, machen diesen Bypass alarmierend.”

Der fragliche Zero-Day-Exploit, der von einem als XCSSET bekannten Malware-Programm ausgenutzt wird, könnte es einem Angreifer sogar ermöglichen, vollen Festplattenzugriff zu erlangen, warnte ein Jamf-Blogpost diese Woche.

“Die Schadsoftware muss nur den privilegierten Befehl innerhalb einer App ausführen, die diese Berechtigungen bereits hat, um sie zu erben und die Funktionalität zu erlangen, z. B. Zoom”, so Noeremberg weiter. “Neben den bereits erwähnten Zugriffen gibt es noch viele weitere Dienste und Eigenschaften, die in den Geltungsbereich von TCC fallen. Malware könnte diesen Bypass nutzen, um auf die Kontakte, den Kalender, die Fotos eines Benutzers zuzugreifen oder sogar Tastatureingaben zu protokollieren, ohne [an] Alarm.”

Glücklicherweise scheint es, dass die Malware-Angreifer die Nutzung des Exploits auf Screenshots beschränkt haben, obwohl “neue Erkenntnisse immer möglich sind”, so Bradley.

Apple hat am Montag ein Update für MacOS Big Sur veröffentlicht, das einen Patch für die TCC-Schwachstelle enthält, die als CVE-2021-30713 bezeichnet wurde. “Ein bösartiges Programm könnte in der Lage sein, die Datenschutzeinstellungen zu umgehen”, heißt es auf einer Apple-Support-Webseite, die darauf hinweist, dass das Problem durch eine verbesserte Validierung behoben wurde. “Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise aktiv ausgenutzt wurde”, heißt es auf der Seite weiter.

SC Media hat Apple für einen weiteren Kommentar kontaktiert.

Die Entdeckung von Jamf ist das jüngste Beispiel dafür, wie Nicht-Windows-Betriebssysteme zunehmend ins Visier genommen werden und warum MacOS-Benutzer nicht selbstgefällig werden dürfen und fälschlicherweise glauben, sie seien sicher vor oder immun gegen Malware-Bedrohungen.

“Angreifer erforschen und missbrauchen aktiv Schwachstellen, die auf macOS gefunden wurden”, so Bradley. “Viele glauben, dass die Nutzung von Zero-Days auf macOS nichts ist, worüber man sich Sorgen machen müsste, aber dies ist der zweite Fall von Malware, die Zero-Days nutzt, den wir in den letzten zwei Monaten entdeckt haben.”

Im Übrigen haben die Schöpfer von XCSSET eindeutig eine Neigung gezeigt, Zero-Day-Exploits als Teil ihrer Kampagnen zu nutzen. Die Malware, die mehrere Nutzdaten liefern kann, nutzte bereits einen Exploit, der über eine Data Vaults-Schwachstelle Cookies stehlen kann, und einen weiteren, der die Entwicklungsversion von Safari missbraucht.

XCSSET wurde erstmals im August letzten Jahres bekannt, nachdem Forscher von Trend Micro herausgefunden hatten, dass böswillige Akteure die Malware in Xcode-Entwicklungsprojekte einschleusen, die auf GitHub gefunden wurden. Entwickler, die sich dann Xcode von diesen verseuchten Projekten ausliehen, würden dann in einem Supply-Chain-Angriff infiziert werden.

“Die verwendete Verteilungsmethode kann nur als clever bezeichnet werden. Betroffene Entwickler werden den bösartigen Trojaner unwissentlich in Form der kompromittierten Xcode-Projekte an ihre Benutzer verteilen, und Methoden zur Überprüfung der verteilten Datei (z. B. die Überprüfung von Hashes) würden nicht helfen, da die Entwickler sich nicht bewusst sind, dass sie bösartige Dateien verteilen”, hieß es damals in einem Trend Micro-Blogbeitrag.

Laut Bradley bleibt Xcode die Verteilungsmethode der Wahl für die Angreifer.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com