近日,Jamf研究人员在XCSSET 恶意软件中发现了一个苹果TCC 0 day漏洞利用,攻击者利用该0 day漏洞可以绕过苹果的TCC安全保护。
在最新发布的macOS 11.4版本中,苹果修复了一个绕过TCC(Transparency Consent and Control,透明度同意和控制)框架的0 day漏洞利用——CVE-2021-30713。TCC是控制应用可以访问系统中的哪些资源的,比如授予软件对摄像头和麦克风的访问权限。攻击者利用该漏洞可以在无需用户明示同意的情况下获取硬盘的访问权限、录屏和其他权限。
Jamf研究人员分析发现XCSSET 也软件使用该漏洞利用来让TCC以在无需用户同意和权限的情况下实现用户桌面截屏。
绕过漏洞利用
Jamf研究人员在分析XCSSET 恶意软件样本时发现了一个名为screen_sim.applescript 的AppleScript模块。该模块中中有一个名为verifyCapturePermissions 的检查,并将应用ID作为一个参数。
研究人员查看日志发现,恶意AppleScript 模块好像在寻找有截图权限的应用。并且成功找到了这样的APP。
研究人员进一步分析verifyCapturePermissions 函数,发现该脚本在已安装的应用列表中检查截屏权限。该列表是来自对以下软件appID的较早检查,被恶意软件称为“ donorApps”。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理