谷歌詳細說明了濫用現在打補丁的 macOS 零日漏洞的活動

與穀歌威脅分析小組合作的一組研究人員獲悉,一項針對多個香港網站的有針對性的惡意活動,通過 macOS 中的零日漏洞攻擊訪問者。

好消息是,該漏洞現已被 Apple 修復。該漏洞在 CVE-2021-30869 標誌下進行了跟踪和編碼,其嚴重性評分為 7.8。

谷歌團隊向蘋果報告了這個錯誤,蘋果在 2021 年 9 月對操作系統 Catalina 版本的 macOS 更新中正式修復了它。蘋果在他們的報告中表示,該漏洞允許惡意應用程序“以內核權限執行任意代碼”。國家漏洞數據庫中有關該錯誤的信息將其描述為“類型混淆”。

自從修補漏洞以來已經過去了足夠長的時間,谷歌的研究人員透露了有關這次攻擊的更多信息。

攻擊依賴於在網頁中插入兩個瀏覽器 iframe,一個設計用於 iOS,另一個用於 macOS。這兩個框架都從攻擊背後的不良行為者操作的服務器中提取了漏洞利用。

在分析了有效載荷並發現它非常複雜後,谷歌還表示,這可能是一個由技術嫻熟的國家支持的演員組成的團隊的傑作。

威脅行為者結合使用漏洞和漏洞利用,這使他們能夠獲得更高的特權,並最終授予他們對受害者 Mac 系統的 root 訪問權限。

一旦獲得 root 訪問權限,黑客就會悄悄地下載並部署最終的有效載荷,該有效載荷將潛伏在受害系統上而未被發現,監視用戶的活動。

發表的關於這次攻擊的研究沒有具體指明攻擊目標的網站,但確實提到其中包括香港的一個政治團體和一家媒體。

November 12, 2021