Apple lanzó el lunes actualizaciones de seguridad para iOS, macOS, tvOS, watchOS y el navegador web Safari para corregir múltiples vulnerabilidades, incluida una falla de día cero explotada activamente en macOS Big Sur y parches ampliados para dos fallas de día cero reveladas anteriormente.
Rastreado como CVE-2021-30713, el día cero se refiere a un problema de permisos en el marco de Transparencia, Consentimiento y Control (TCC) de Apple en macOS que mantiene una base de datos de los consentimientos de cada usuario. El fabricante del iPhone reconoció que el problema puede haber sido explotado en la naturaleza, pero no llegó a compartir detalles.
La empresa señaló que rectificó el problema con una validación mejorada.
Sin embargo, en un informe separado, la empresa de administración de dispositivos móviles Jamf dijo que la falla de derivación estaba siendo explotada activamente por XCSSET, un malware que ha estado en libertad desde agosto de 2020 y que se sabe que se propaga a través de proyectos IDE Xcode modificados alojados en repositorios de GitHub y planta malicioso. paquetes en aplicaciones legítimas instaladas en el sistema de destino.
«El exploit en cuestión podría permitir a un atacante obtener acceso total al disco, grabación de pantalla u otros permisos sin requerir el consentimiento explícito del usuario, que es el comportamiento predeterminado», dijeron en un escrito los investigadores de Jamf Stuart Ashenbrenner, Jaron Bradley y Ferdous Saljooki. -arriba.
Tomando la forma de un módulo AppleScript, la falla de día cero permitió a los piratas informáticos explotar los dispositivos en los que se instaló XCSSET para aprovechar los permisos que ya se habían otorgado a la aplicación troyana para acumular y filtrar información confidencial.
Específicamente, el malware buscó permisos de captura de pantalla de una lista de aplicaciones instaladas, como Zoom, Discord, WhatsApp, Slack, TeamViewer, Upwork, Skype y Parallels Desktop, para inyectar el malware («avatarde.app») en la aplicación. carpeta, heredando así los permisos necesarios requeridos para llevar a cabo sus nefastas tareas.
«Al aprovechar una aplicación instalada con el conjunto de permisos adecuado, el atacante puede aprovechar esa aplicación donante al crear una aplicación maliciosa para ejecutarla en los dispositivos de la víctima, sin solicitar la aprobación del usuario», señalaron los investigadores.
XCSSET también fue objeto de un escrutinio más detenido el mes pasado después de que se detectara una nueva variante del malware dirigida a Mac que se ejecutan en los nuevos chips M1 de Apple para robar información de la billetera de las aplicaciones de criptomonedas. Una de sus funciones principales es desviar las cookies del navegador Safari e instalar una versión de desarrollador de la aplicación Safari para cargar puertas traseras de JavaScript desde su servidor de comando y control.
Como parte de las actualizaciones del lunes, también se corrigieron otras dos fallas explotadas activamente en su motor de navegador WebKit que afectan a los dispositivos Safari, Apple TV 4K y Apple TV HD, casi tres semanas después de que Apple abordara los mismos problemas en iOS, macOS y watchOS a principios de este mes. .
- CVE-2021-30663 – Un problema de desbordamiento de enteros en WebKit, que podría explotarse para lograr la ejecución de código arbitrario al procesar contenido web creado con fines maliciosos.
- CVE-2021-30665 – Un problema de corrupción de memoria en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.
Se recomienda a los usuarios de dispositivos Apple que actualicen a las últimas versiones para mitigar el riesgo asociado con las fallas.