近日,Jamf科学研究员工在XCSSET 恶意程序中看到了一个苹果TCC 0 day漏洞利用,网络攻击利用该0 day系统漏洞可以绕过iPhone的TCC安全性维护。
在最新发布的macOS 11.4版本中,苹果修复了一个绕过TCC(Transparency Consent and Control,清晰度允许和操纵)架构的0 day漏洞利用——CVE-2021-30713。TCC是操纵运用可以浏览操作系统中的什么資源的,例如授于手机软件对监控摄像头和话筒的访问限制。网络攻击利用该缺陷可以在不用客户明确允许的情形下获得电脑硬盘的访问限制、屏幕录制和别的管理权限。
Jamf科学研究工作人员剖析发觉XCSSET 也软件应用该漏洞利用来让TCC以在不用客户接受和授权的情形下完成客户桌面上手机截图。
绕过漏洞利用
Jamf科学研究员工在剖析XCSSET 恶意程序样版时发觉了一个名叫screen_sim.applescript 的AppleScript控制模块。该模块中有一个名叫verifyCapturePermissions 的查验,并将运用ID做为一个主要参数。
科学研究工作人员查询日志发觉,故意AppleScript 控制模块仿佛在找寻有截屏管理权限的运用。而且取得成功找到那样的APP。
科学研究工作人员进一步剖析verifyCapturePermissions 函数公式,发觉该脚本制作在已安裝的运用目录中查验手机截图管理权限。该目录是来自于对下列软件appID的较早查验,被恶意程序称之为“ donorApps”。
被恶意程序进攻的总体目标应用软件ID目录是客户常常授于屏幕共享管理权限做为其正常的工作中一部分的全部应用软件。随后,该恶意程序应用下列mdfind命令查验受害人的设施上是不是安裝了appID。
假如在操作系统上寻找任一个appID,该指令将回到已安装应用程序的途径。恶意程序利用这种消息可以制造一个定制的AppleScript应用软件,并将其引入已安裝的donor应用软件中。
脚本制作会根据下列次序来实行姿势:
(1) 从恶意程序创作者的C2 服务器下载XCSSET AppleScript手机截图控制模块到当地~/Library/Caches/GameKit 文件夹名称;
(2) 根据应用osacompile 指令将手机截图控制模块转换称一个根据AppleScript的运用——avatarde.app。以这样的方法编译程序一切AppleScript时,都是会在创好的应用软件捆缚包的/ Contents / MacOS /文件目录中存放一个名叫“ applet”的可执行程序,而且该applet即将实行的脚本制作可以坐落于/ Contents / Resources / Scripts / main中。
(3) 随后,创好的Info.plist可能被plutil二进制文件改动,将首选项设定LSUIElement改动为true。这一实际操作促使程序可以做为后台进程运作,对客户隐藏自己的存有。
(4) 随后下载一个空缺标志,并将其运用于应用软件。
(5) 最终,应用如下所示编码将创好的应用软件置放在目前的donor应用软件中:
例如,假如在操作系统上寻找虚似大会应用软件zoom.us.app,则恶意程序将自身置放在:
/Applications/zoom.us.app/Contents/MacOS/avatarde.app
假如被害电子计算机运作的是macOS 11或更高一些版本的macOS系统软件,则会用ad-hoc临时性签字对avatarde运用做好签字,或用计算机本身对它进行签字。
全部文档置放及时后,应用软件将背驰父应用软件,例如上例中的Zoom。换句话说,故意应用软件可以不用客户的明晰允许开展屏幕截屏或屏幕录制。由于其从父程序流程Zoom处承继了相应的TCC管理权限。这对终端产品用户而言是一个较大的隐私保护问题。
Jamf科学研究员工在检测环节中发觉,该系统漏洞的利用实际上并不限于屏幕录像管理权限,可以将donor运用的管理权限迁移到故意APP中。
文中翻譯自:https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/