XCSSET マルウェアが被害者のデスクトップのスクリーンショットを密かに撮ることを可能にするゼロデイ脆弱性 (CVE-2021-30713) が、Apple によって macOS 11.4 (Big Sur) で月曜日に修正されました。

CVE-2021-30713

XCSSET マルウェアとその CVE-2021-30713 の悪用

2021 年 8 月にトレンドマイクロの研究者によって発見されたXCSSETは、効果的にトロイの木馬スパイウェアであり、Safari やその他のインストール済みブラウザーからユーザー データを取得し、Safari Cookie を読み取り、JavaScriptバックドアを Web サイトに挿入し、さまざまなアプリ (Evernote、Telegram、WeChat、など)、ユーザーの画面のスクリーンショットなどをキャプチャします。

このマルウェアは、Apple が開発したスクリプト言語である AppleScript で記述されており、スクリプト対応の Mac アプリケーションの制御を容易にします。

以前、XCSSET がゼロデイ エクスプロイトを使用して Safari ブラウザの Cookie を盗み、別のエクスプロイトを使用して Safari アプリケーションの開発者バージョン (JavaScript バックドアを Web サイトに挿入するために使用) をシームレスにインストールすることが判明しました。Jamf の研究者は、Apple の Transparency Consent and Control (TCC) 保護をバイパスするために、第 3 のゼロデイを悪用することを発見しました。

「[TCC フレームワーク] は、アプリケーションがアクセスできるリソースを制御するシステムです」と研究者は説明します。「ユーザーの観点から見ると、TCC は、プログラムがアクションを実行しようとしたときに、ユーザーが受け取るプロンプトです。Apple は、アクションの実行を許可する前に、ユーザーからの明示的な許可が必要であると考えています。」

たとえば、アプリがコンピューターのマイクやカメラにアクセスしたり、画面を記録したり、ドキュメント ディレクトリにファイルを保存したりするときに、ユーザーはこのプロンプトを表示します。

XCSSET は、AppleScript モジュールを使用して、スクリーンショットをキャプチャする権限を持つアプリケーションを検索し、その「ドナー」アプリケーションに挿入されるカスタム AppleScript アプリケーション (「avatarde.app」) にコンパイルすることにより、TCC 保護をバイパスします。

これにより、マルウェアはユーザーにスクリーンショットを要求することなく、効果的にスクリーンショットを作成する許可を取得します。さらに悪いことに、この脆弱性は、ドナー アプリケーションに既に提供されている複数の他のアクセス許可を取得するために使用される可能性があります。

Mac (およびその他の iDevices) をアップデートする

CVE-2021-30713 は、月曜日にリリースされた macOS Big Sur 11.4 でパッチが適用されています。更新OSはまた、他の多くのセキュリティ修正をもたらします。

同時に、Apple は macOS Catalina と Mojave、Safari 14.1.1、iOS 14.6 と iPadOS 14.6、tvOS 14.6、watchOS 7.5 のセキュリティ アップデートもリリースしました。これらの更新のセキュリティ コンテンツの詳細については、こちらを参照してください

ユーザーは、できるだけ早く更新を実装することをお勧めします。

コメントをどうぞ