Apple đã làm gì với lỗi Zero-Day trong MacOS cho phép chụp lén màn hình?

Apple đã vá một lỗi nghiêm trọng trong hệ điều hành máy tính để bàn macOS, nơi có thể bị lợi dụng để lén chụp ảnh màn hình, hoặc ghi lại hình ảnh trong các ứng dụng hoặc khi người dùng thực hiện hội nghị truyền hình trực tuyến.

Apple đã giải quyết lỗ hổng bảo mật - được phát hiện bởi các nhà nghiên cứu tại công ty an ninh mạng doanh nghiệp Jamf - trong phiên bản macOS mới nhất, Big Sur 11.4, vừa được phát hành vào ngày 24/5, theo một báo cáo vừa được công bố.

Các nhà nghiên cứu cho biết đã phát hiện ra phần mềm gián điệp XCSSET đang lợi dụng lỗ hổng, được theo dõi là CVE-2021-30713, "đặc biệt cho mục đích chụp ảnh màn hình máy tính để bàn trái phép mà không cần yêu cầu cấp quyền bổ sung", theo một bài đăng trên blog Jamf.

Các nhà nghiên cứu cho biết: Hoạt động này được phát hiện trong quá trình phân tích XCSSET mà họ đã thực hiện sau khi ghi nhận có sự gia tăng đáng kể của các biến thể được phát hiện tình cờ. Apple cho đến nay vẫn chưa cung cấp chi tiết cụ thể về lỗ hổng trong cơ sở dữ liệu CVE.

Lỗ hổng hoạt động bằng cách vượt qua Transparency Consent and Control (TCC) - khuôn khổ kiểm soát những tài nguyên mà ứng dụng có quyền truy cập, "chẳng hạn như cấp quyền truy cập phần mềm cộng tác video vào webcam và micro, để tham gia các cuộc họp trực tuyến", theo bài đăng của Jamf.

Các nhà nghiên cứu cho biết: "Lỗ hổng đang được đề cập có thể cho phép kẻ tấn công có được quyền truy cập hệ thống lưu trữ, ghi màn hình hoặc các quyền khác mà không cần sự đồng ý của người dùng - đó là một hành vi mặc định.

Trend Micro đã phát hiện ra phần mềm độc hại XCSSET vào tháng 8 năm ngoái khi các nhà nghiên cứu nhận thấy tội phạm mạng đưa phần mềm độc hại vào dự án của các nhà phát triển Xcode. Họ đã xác định phần mềm độc hại là một bộ có tên XCSSET, có thể chiếm quyền điều khiển trình duyệt web Safari và đưa vào nhiều tệp JavaScript khác nhau có thể lấy cắp mật khẩu, dữ liệu tài chính và thông tin cá nhân, triển khai ransomware và thực hiện các chức năng độc hại khác.

Vào thời điểm đó, các nhà nghiên cứu của Trend Micro nhận thấy XCSSET sử dụng hai lỗ hổng zero-day để thực hiện các hành động trái phép - một lỗi trong Data Vault cho phép vượt qua tính năng Bảo vệ toàn vẹn hệ thống (SIP) của macOS; và trong trình duyệt Safari.

Giờ đây, nó đã xuất hiện trong lỗ hổng zero-day thứ ba, và có thể được thêm vào danh sách những XCSSET gây hại. Jamf đã mô tả chi tiết cách phần mềm gián điệp lợi dụng lỗi này để vượt qua TCC.

Khi nghiên cứu sâu về phần mềm gián điệp này, các thành viên trong nhóm Jamf Protect đã nhận thấy, một mô-đun AppleScript có tiêu đề "screen_sim.applescript" có tên "verifyCapturePermissions" đã được sử dụng để tìm kiếm những ứng dụng có quyền chụp ảnh màn hình từ danh sách các ứng dụng đã được cài đặt. Danh sách này có được từ lần kiểm tra trước đó của appID, được phần mềm độc hại gọi là "donorApps".

Các nhà nghiên cứu cho hay: "Đúng như dự đoán, danh sách các appID được nhắm mục tiêu là tất cả các ứng dụng mà người dùng thường xuyên cấp quyền chia sẻ màn hình như một phần hoạt động bình thường của nó. Phần mềm độc hại sau đó sử dụng lệnh mdfind - phiên bản dựa trên dòng lệnh của Spotlight - để kiểm tra xem ID ứng dụng đã được cài đặt trên thiết bị của nạn nhân hay chưa?".

Nếu tìm thấy bất kỳ ID nào trong số đó trên hệ thống, lệnh sẽ trả về đường dẫn đến ứng dụng đã cài đặt, từ thông tin này, XCSSET tạo một ứng dụng AppleScript tùy chỉnh và đưa nó vào ứng dụng đã cài đặt đó.

Sau đó, XCSSET có thể chụp ảnh màn hình hoặc ghi lại màn hình khi nạn nhân đang sử dụng ứng dụng nào đó mà không cần sự đồng ý của người dùng. Các nhà nghiên cứu phát hiện ra rằng XCSSET cũng có thể sử dụng lỗ hổng này để chiếm đoạt các quyền khác ngoài tính năng chia sẻ màn hình.