Google détaille la campagne active abusant de macOS Zero-Day maintenant corrigé

Une équipe de chercheurs travaillant avec le groupe d'analyse des menaces de Google a informé d'une campagne malveillante ciblée qui se concentrait sur plusieurs sites Web de Hong Kong, ciblant les visiteurs via une vulnérabilité zero-day dans macOS.

La bonne nouvelle est que le bogue a maintenant été corrigé par Apple. La faille a été suivie et codifiée sous le désignateur CVE-2021-30869 et un score de gravité de 7,8 lui a été attribué.

L'équipe de Google a signalé le bogue à Apple qui l'a dûment corrigé dans une mise à jour macOS de septembre 2021 vers la version Catalina du système d'exploitation. Dans son rapport, Apple a déclaré que la faille permettait aux applications malveillantes « d'exécuter du code arbitraire avec les privilèges du noyau ». Les informations sur le bogue dans la base de données nationale sur les vulnérabilités le décrivent comme une "confusion de type".

Maintenant qu'un laps de temps suffisant s'est écoulé depuis que la faille a été corrigée, les chercheurs de Google ont révélé des informations supplémentaires sur l'attaque.

L'attaque reposait sur l'insertion de deux iframes de navigateur dans une page Web, l'une conçue pour fonctionner sur iOS et l'autre sur macOS. Les deux trames ont extrait des exploits d'un serveur exploité par les mauvais acteurs à l'origine des attaques.

Après avoir analysé la charge utile et découvert qu'elle était très sophistiquée, Google a également déclaré qu'il s'agissait probablement du travail d'une équipe d'acteurs très hautement qualifiés, probablement soutenus par l'État.

Les acteurs de la menace ont utilisé une combinaison d'une vulnérabilité et d'un exploit, ce qui leur a permis d'obtenir des privilèges élevés et leur a finalement donné un accès root au système Mac de la victime.

Une fois l'accès root obtenu, les pirates téléchargeaient et déployaient discrètement la charge utile finale, qui resterait sur le système victime sans être détecté, espionnant l'activité de l'utilisateur.

La recherche publiée sur l'attaque n'a pas nommé spécifiquement les sites Web ciblés par l'attaque, mais a mentionné que parmi eux se trouvaient un groupe politique et un média à Hong Kong.

November 12, 2021