MacOS Zero-Day wird c/o Watering-Hole-Angriffen verwendet

Apple hat im September eine Zero-Day-Schwachstelle behoben, nachdem prestigevoll wurde, dass Angreifer dies Sicherheitsproblem in macOS Catalina – zusammen mit einer zuvor bekannten Schwachstelle – genutzt hatten, um Gast jener Website einer „prominenten pro-demokratischen Horde“ und eines Medienunternehmens in . zu kompromittieren Hongkong, sagte Google in einer am 11. November veröffentlichten Betrachtung des Angriffs.

Die Threat Analysis Group (TAG) von Google entdeckte den Sturm Finale August 2021, c/o dem zwei iframes – Website-Elemente, die Kode von einem anderen Server laden – verwendet wurden, um Exploits pro Computer mit macOS und Geräten mit iOS bereitzustellen. Watering-Hole-Kampagnen gefährden legitime Websites, von denen prestigevoll ist, dass sie bestimmte Benutzerschichten anziehen, in jener Hoffnung, die Computer jener beabsichtigten Todesopfer zu infizieren.

Googles TAG hat den Sturm nicht zugeschrieben, dessen ungeachtet die Merkmale des Angriffs deuten gen eine starke Vernetzung zu Volksrepublik China hin.

„Basierend gen unseren Ergebnissen Vertrauen schenken wir, dass dieser Bedrohungsakteur eine gut ausgestattete Horde ist, die wahrscheinlich vom Staat unterstützt wird und Zugang zu ihrem eigenen Software-Engineering-Team hat, basierend gen jener Qualität des Nutzcodes“, Erye Hernandez, Sicherheitsingenieurin c/o Google’s Threat Analysis Group (TAG), heißt es im Blogbeitrag.

Watering-Hole-Angriffe sind eine bevorzugte Technologie jener chinesischen Cyber-Spionage-Operationen. Im Jahr 2015 kompromittiert ein Sturm mit Sinister nachher Volksrepublik China die Website eines bekannten Luft- und Raumfahrtunternehmens, um Gast mit einem gängigen Trojanisches Pferd-Sendung zu infizieren. Im Jahr 2018 infizierte ein Sturm im Zusammenhang mit jener chinesischen Horde Emissary Panda dies Rechenzentrum eines asiatischen Landes, um “Zugang zu einer Vielzahl von Regierungsressourcen zu erhalten”. Im Jahr 2020 kooptiert eine weitere Schadsoftware-Verteilungskampagne, die dies Sicherheitsunternehmen Kaspersky Holy Water nannte, legitime Websites, um Mitglieder bestimmter asiatischer religiöser und ethnischer Gruppen zu infizieren.

„Eine Wasserstelle ist eine gezielte Angriffsstrategie, c/o jener Cyberkriminelle Websites kompromittieren, die qua fruchtbarer Grund pro potenzielle Todesopfer gelten, und darauf warten, dass die eingepflanzte Schadsoftware gen ihren Computern landet“, erklärten Kaspersky-Forscher. “Um jener Schadsoftware ausgesetzt zu sein, muss ein Benutzer wie geschmiert eine kompromittierte Website kommen, welches sie Sorte von Sturm leichtgewichtig verteilen und damit gefährlicher macht.”

Welcher neueste Sturm nutzte ein Typverwirrungsproblem im XNU-Kernel (CVE-2021-30869), jener dies Darwin-Operating system antreibt, dies Apples macOS zugrunde liegt. Apple hat den Fehler am 23. September behoben und gesagt: “Eine bösartige Inanspruchnahme kann unter Umständen beliebigen Kode mit Kernel-Privilegien realisieren. Apple sind Berichte prestigevoll, dass ein Exploit pro dieses Problem in jener Wildnis existiert.”

Die Angreifer kombinierten den Exploit mit einem weiteren Problem, dies Remote-Kompromittierungen übrig WebKit ermöglichte, dies die Grundlage des Safari-Browsers ist. Die Betreuer von WebKit nach sich ziehen dieses Problem im Januar behoben.

Eine erfolgreiche Kompromittierung führt zum Download einer verschleierten Binärdatei, die nachher jener Entschlüsselung eine Hintertür qua Nutzlast installiert. Die Hintertür verwendet vereinen Publish-Subscribe-System pro die Kommunikation mit dem Command-and-Control-Server und verfügt übrig eine Modularchitektur, die Kode zum Zusammenfassen von Tastenanschlägen enthält. Darüber hinaus können die Hintertür-Fingerabdrücke des Geräts des Opfers Screenshots zeugen, Dateien herunterladen und uploaden, Terminalbefehle realisieren und Audio ingestieren.

“Die Nutzlast scheint ein Produkt umfangreicher Softwareentwicklung zu sein”, schrieb Hernandez im Google TAG-Internet-Tagebuch-Postamt. “In die Komponenten sind gleichermaßen andere Funktionalitäten integriert, gen die nicht einfach übrig die in jener Nutzlast enthaltenen Binärdateien zugegriffen wurde, sondern von zusätzlichen Stufen verwendet werden können, die gen den Computer des Opfers heruntergeladen werden können.”

Fehler c/o Intel-basierten Maschinen, gen denen Catalina umgesetzt wird
Die Zero-Day-Schwachstelle betrifft nur Intel-basierte Computer, gen denen dies zwei Jahre Gemahlin Operating system macOS Catalina läuft und die noch nicht gepatcht wurden. MacOS Catalina wurde im September 2019 gen den Markt gebracht und im September 2020 durch macOS Big Sur und im September 2021 durch macOS Monterey ersetzt. Hinaus einer erheblichen Menge von Mac-Systemen wird jedoch offenbar weiterhin dies ältere Operating system umgesetzt. Im zehnter Monat des Jahres 2021 liefen laut Datenmaterial von NetMarketShare etwa 11 % jener Systeme, gen die große Websites stoßen, macOS und etwa die Hälfte davon Catalina (macOS 10.15).

Watering-Hole-Angriffe unterstreichen die Notwendigkeit eines schnellen Patchens – nicht nur im Namen einzelner Benutzer, sondern gleichermaßen durch Website-Administratoren. In jener Vergangenheit waren anfällige Webserver Ziel von Massenausbeutung, darunter z. B. die Kompromittierung von mehr qua einer Million WordPress-Sites durch eine Horde, die die Server später pro verteilte Denial-of-Tafelgeschirr-Angriffe nutzte.