„Google“ informacija apie aktyvią kampaniją, kuria piktnaudžiaujama. Dabar pataisyta „macOS“ nulinė diena

Tyrėjų komanda, dirbanti su „Google“ grėsmių analizės grupe, informavo apie tikslinę kenkėjišką kampaniją, kuri buvo nukreipta į kelias Honkongo svetaines, nukreiptą į jų lankytojus per nulinės dienos „macOS“ pažeidžiamumą.

Geros naujienos yra tai, kad šią klaidą ištaisė „Apple“. Trūkumas buvo atsektas ir užkoduotas naudojant žymenį CVE-2021-30869 ir jam buvo suteiktas 7,8 sunkumo balas.

„Google“ komanda pranešė apie klaidą „Apple“, kuri ją tinkamai ištaisė 2021 m. rugsėjo mėn. „MacOS“ atnaujinime į „Catalina“ operacinės sistemos versiją. Savo ataskaitoje „Apple“ teigė, kad ši klaida leido kenkėjiškoms programoms „vykdyti savavališką kodą su branduolio privilegijomis“. Nacionalinėje pažeidžiamumo duomenų bazėje pateikta informacija apie klaidą apibūdinama kaip „tipo painiava“.

Dabar, kai praėjo pakankamai laiko nuo trūkumo pašalinimo, „Google“ tyrėjai atskleidė papildomos informacijos apie išpuolį.

Ataka buvo pagrįsta dviejų naršyklės „iframe“ įterpimu į tinklalapį, kurių vienas skirtas veikti „iOS“, o kitas – „macOS“. Abu kadrai ištraukė išnaudojimus iš serverio, kurį valdė blogi atakų dalyviai.

Išanalizavusi naudingą apkrovą ir išsiaiškinusi, kad ji labai sudėtinga, „Google“ taip pat pareiškė, kad tai greičiausiai labai aukštos kvalifikacijos, greičiausiai valstybės remiamų veikėjų komandos rankų darbas.

Grėsmės veikėjai naudojo pažeidžiamumo ir išnaudojimo derinį, kuris kartu leido jiems įgyti aukštesnių privilegijų ir galiausiai suteikė pagrindinę prieigą prie aukos „Mac“ sistemos.

Kai tik buvo gauta root prieiga, įsilaužėliai tyliai atsisiųsdavo ir įdiegdavo galutinę naudingąją apkrovą, kuri nepastebėta atsidūrė aukų sistemoje ir šnipinėjo vartotojo veiklą.

Apie išpuolį paskelbtame tyrime nebuvo konkrečiai įvardytos svetainės, į kurias buvo nukreiptas išpuolis, tačiau paminėta, kad tarp jų yra politinė grupė ir žiniasklaidos priemonė Honkonge.

November 12, 2021