新版 macOS 悄然启用 XProtect Remediator:增强恶意软件防护
在 Mac 开机或者打开某款应用时进行恶意软件扫描之外,苹果悄然新增了一项新功能:在 Mac 处于闲置状态进行恶意软件软件扫描。Howard Oakley 在其 The Eclectic Light Company 博文中写道,苹果于 2021 年 3 月引入了名为 XProtect Remediator 的功能,在最新发布的 macOS Monterey 中开始启用。 XProtect Remediator 是对现有 XProtect 系统工具的补充。Oakley 表示 XProtect 系统工具主要用于应用生产,是否存在已知恶意软件黑名单中的代码。XProtect Remediator 由可执行代码模块组成,这些模块既可以扫描又可以修复检测到的恶意软件。 Oakley 表示,它似乎可以替代苹果之前的恶意软件删除工具 (MRT)。虽然在 Apple 的支持网站上搜索“恶意软件”确实会显示对 MRT 的引用,但这些引用已从实际支持文档中删除。 支持文档中也未提及此 XProtect Remediator,并且 XProtect 被描述为用于在检测到恶意软件后删除。但是,Apple 现在确实表示 XProtect 还有助于识别恶意软件。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1311103.htm 封面来源于网络,如有侵权请联系删除
macOS 端 Zoom 获更新,修复高危安全漏洞
援引国外科技媒体 MacRumors 报道,Zoom 已经发布了新版补丁,修复了存在于 macOS 端应用中的漏洞,允许黑客入侵接管用户的操作系统。在安全公告中,Zoom 承认存在 CVE-2022-28756 这个问题,并表示在最新的 5.11.5 版本中已经提供了修复,用户应该理解下载安装。 Objective-See Foundation 的联合创始人兼安全专家帕特里克·沃德尔(Patrick Wardle)率先发现了这个漏洞,并在上周召开的 Def Con 黑客大会上公开演示。该漏洞存在于 Zoom 的 macOS 安装包内,需要特别的用户权限来执行。 通过利用该工具,沃德尔利用 Zoom 安装包的加密签名来安装恶意程序。接下来,攻击者可以接管用户的系统,允许修改、删除和添加文件。 在引用 Zoom 的更新之后,沃德尔表示:“感谢 Zoom 能够如此快地修复这个问题。反转补丁,Zoom 安装程序现在调用 lchown 来更新更新 .pkg 的权限,从而防止恶意使用”。 您可以通过首先在 Mac 上打开应用程序并从屏幕顶部的菜单栏中点击 zoom.us(这可能因您所在的国家/地区而异)来在 Zoom 上安装 5.11.5 更新。然后,选择检查更新,如果可用,Zoom 将显示一个窗口,其中包含最新的应用程序版本,以及有关更改内容的详细信息。从这里,选择更新开始下载。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1304807.htm 封面来源于网络,如有侵权请联系删除
黑客演示入侵电影制片人 Mac 计算机 证明 macOS 无法主动抵御网络威胁
近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还是指出,本次攻击是面向 Katzenberg 本人参与投资的身份盗窃保护公司 Aura 的一次技术演示。 据悉,Tobac 利用了现已得到修复的漏洞、并且结合了社会工程技能,以欺骗 Katzenberg 点击钓鱼网站上的恶意链接。 在得逞之后,攻击者便可窃取受害者 Mac 上的照片、电子邮件和联系人等隐私信息。 更让人感到惊悚的是,黑客甚至能够在不触发 macOS 内置麦克风指示器的情况下,悄然开启 Mic 并监听受害者的谈话内容。 Tobac 的丈夫 Evan(也是一名黑客兼安全研究人员),在另一条推文中介绍了本次 macOS 漏洞利用的更多细节。 可知攻击方案基于 Ryan Pickren 的安全研究而构建,当初他因发现 Safari 的跨站脚本漏洞而获得了 10.05 万美元的奖励。更确切地说,黑客可通过 iCloud 链接和 Safari 的共享偏好来开展底层漏洞利用攻击。 不过对于普通 macOS 用户来说,还请不要连续漏过多次版本更新、并养成良好的使用习惯(不轻易点击可疑的邮件连接),不然就会像 Katzenberg 的 Mac 一样易被侵入。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248021.htm 封面来源于网络,如有侵权请联系删除
零日漏洞允许在 macOS 系统上运行任意命令
独立安全研究员 Park Minchan 透露,苹果 macOS Finder 中存在一个零日漏洞,攻击者可以利用这个漏洞在运行任何 macOS 版本的 Mac 系统上运行任意命令。 这个漏洞是因为 macOS 处理 inetloc 文件的方式会使它运行嵌入在其中的命令。SSD Secure Disclosure advisory称,它运行的命令可以是 macOS 的本地命令,在没有任何提示的情况下执行任意命令。 Internet 位置文件是一种系统书签,双击它,就会打开一个在线资源或本地文件(file://)。 最初,苹果公司默默地解决了这个漏洞,但是Minchan注意到苹果公司并没有完全解决这个漏洞。专家发现,仍然可以使用不同的协议(从 FiLe://到 FiLe://),利用这个漏洞来执行嵌入的命令。“较新版本的 macOS (来自 Big Sur)阻止了前缀://的文件(在 com.apple.generic-internet-location 中) ,但是他们做了一个案例匹配,导致 fIle://或 fIle://绕过了检查。” 研究人员还为这个问题提供了PoC漏洞代码和一个视频演示: BleepingComputer称,在撰写本文时,PoC 代码的病毒检测率为零。 消息来源:securityaffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
修补太慢:WebKit 中的 AudioWorklet 漏洞仍影响 iOS 与 macOS 设备
尽管修复程序已发布数周,但苹果尚未完成对 iOS 和 macOS 中存在的 WebKit 漏洞的修补。Apple Insider 指出,该漏洞由网络安全初创公司 Theori 研究人员首先发现,问题主要与 WebKit 中的 AudioWorklets 实现有关。除了可能引发 Safari 浏览器的崩溃,Theori 也警告它是一个可被利用的类型混淆漏洞。 AudioWorklet 接口允许开发者控制、渲染和输出音频,但也为攻击者利用此漏洞在设备上执行恶意代码而敞开了大门。 不过恶意攻击者仍需绕过指针验证码(PAC),才能在现实世界中发起攻击。作为一套缓解措施,PAC 强制需要密码签名,才能在内存中执行代码。 开源开发者已于 5 月初修复了 AudioWorklet 漏洞(GitHub 传送门),但 Theori 研究人员 Tim Becker 警告称,该漏洞仍存在于最新版本的 iOS 和 macOS 中。 在理想情况下,从公开补丁到稳定版发布的时间间隔会尽可能小,但 AudioWorklet 漏洞还是让新版 iOS 设备用户在几周内易受攻击。 在 Tim Becker 看来,缺乏修复程序的“空窗缺口”是开源开发领域的一个重大风险。 由谷歌 Project Zero 安全团队披露的数据可知,自 2021 年初以来,苹果系统中共有 7 个漏洞在野外被积极利用,且其中已修复的多个都与 WebKit 有关。 (消息及封面来源:cnBeta)
苹果修复 macOS 11.4 零日漏洞:可被攻击者秘密截屏或录制视频
Apple Insider 报道称,苹果刚刚为 macOS Big Sur 11.4 修复了一个零日漏洞。早前的概念验证表明,攻击者可通过劫持现有应用程序的权限,来秘密截取屏幕画面或录制视频。率先曝光此事的 Jamf 安全研究人员称:为控制应用程序能够访问哪些系统功能,苹果特地在 macOS 中实施了“透明许可与控制”框架,但该零日漏洞还是为此类攻击敞开了大门。 更糟糕的是,Jamf 指出,该漏洞似乎已在野外被积极利用。他们在研究名为 XCSSET 的 Mac 恶意软件时发现了该缺陷,可知 XCSSET 是通过受感染的 Xcode 项目而让 macOS 开发者躺枪的。 在利用该漏洞劫持了其它应用程序的权限之后,恶意软件将使得攻击者达成许多目的,比如挂接到具有视频录制权限的 Zoom 云视频会议软件中。然而只有在利用该漏洞进行屏幕截图的时候,它才会被用户所察觉。 庆幸的是,苹果已于本周一发布了针对 macOS Big Sur 11.4 的这一漏洞补丁。与此同时,macOS Mojave 和 Catalina 也迎来了两个安全更新。 苹果在致《福布斯》的一份声明中强调,该漏洞仅影响通过 Mac 官方应用商店之外的渠道来下载应用程序的用户。 早些时候,苹果软件工程主管 Craig Federighi)还在 Epic 诉 App Store 案件的证词中表示 —— 与 iOS 移动设备相比,Mac 平台上的恶意软件状况是难以让人接受的。 (消息及封面来源:cnBeta)
有黑客组织利用 macOS 后门对越南地区 Mac 用户发起攻击
援引外媒报道,一支有国家背景的黑客组织正利用现有 macOS 后门对越南地区的 Mac 用户发起攻击。根据趋势科技近日发布的一份最新报告,这款升级版恶意软件能让攻击者访问受感染的 Mac,并监控和窃取敏感信息。 图 1-2. OceanLotus样本(上)和最新OceanLotus样本(下)的比较 图 3. 样本文件名、图标和app bundle结构 图 4. “.” 和 “doc”之间的特殊字符 图 5. 样本的代码签名信息 图 6. “ALL tim nha Chi Ngoc Canada” 文件内容 图 7. 执行文件后展示的文件 图 8. Plist文件 ~/Library/LaunchAgents/com.apple.marcoagent.voiceinstallerd.plist 图 9. 释放文件的时间戳 图 10. 加密的字符串 图 11-12. 解密方法 报告指出,该恶意软件以 ZIP 文件的形式进行传播,并伪装成 Word 文档,通过钓鱼电子邮件方式进行传播。目前,使用该恶意软件伪装的 ZIP 文件能够通过各种安全软件的检测。 一旦安装在计算机上,该恶意软件就会启动一系列有效负载,这些有效负载会更改访问权限并在系统上安装后门。该后门程序使攻击者可以侦听和下载用户文件,获取有关计算机的其他信息以及上载其他恶意软件。 趋势科技认为,该后门程序与一个名为 OceanLotus 或 APT32 的黑客组织有关,该组织被认为与越南政府有联系。 OceanLotus 以针对在越南工作的外国组织为目标而闻名,人们认为他们的目标是通过网络间谍活动来支持越南拥有的公司。 研究人员写道:“ OceanLotus等威胁组织正在积极更新恶意软件变种,以逃避检测并提高持久性”。由于该恶意软件似乎是为特定地理区域内的针对性间谍活动而设计的,因此它不太可能给大多数macOS用户带来很大的风险。 (稿源:cnBeta;封面来自网络)
Microsoft Defender 网络保护功能即将登陆 macOS 平台
Microsoft Defender Advanced Threat Protection 是微软提供的终端安全平台,可以帮助企业预防、检测、调查和应对高级威胁。微软近日确认,将把网络保护功能带到 MacOS 上(适用于 macOS ver 10.15.4 及更高版本)。 网络保护(Network Protection)有助于减少设备受到网络攻击事件的影响,它可以防止员工使用任何应用程序访问危险的域,这些域可能承载着互联网上的钓鱼诈骗、漏洞和其他恶意内容。网络保护扩大了 Microsoft Defender SmartScreen 的范围,可以阻止所有试图连接到低声誉来源(基于域或主机名)的出站HTTP(s)流量。 网络保护功能将于2020年12月登陆 macOS 平台。 (消息及封面来源:cnBeta)
Windows GravityRAT 恶意软件现在开始攻击 Android 和 macOS
GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件,现在已经成为多平台的间谍软件,因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发,并被部署在针对印度军事组织的定向攻击中。 虽然恶意软件的作者之前专注于针对Windows机器,但卡巴斯基研究人员去年发现的一个样本显示,他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码,使他们的诱杀应用看起来合法。 更新后的RAT样本是在分析一款Android间谍软件应用(即Travel Mate Pro)时检测到的,该应用会窃取联系人、电子邮件和文件,这些文件会被发送到在线命令和控制服务器,这个服务器也被另外两个针对Windows和macOS平台的恶意应用(Enigma和Titanium)也在使用。 这些恶意应用程序在受感染设备上投放的间谍软件恶意软件运行着多平台代码,它允许攻击者向,它们可以获取系统信息,搜索计算机和可移动磁盘上扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的文件,并将它们上传到服务器,获取运行中的进程列表,窃听,截屏,任意执行shell命令,录音和扫描端口。 “总的来说,发现了超过10个版本的GravityRAT,被伪装成合法的应用程序进行分发,这些模块一起使用,使该集团能够进入Windows操作系统,MacOS和Android。卡巴斯基还发现了用.NET、Python和Electron开发的应用程序,这些应用程序通常是合法应用程序的克隆,它们会从C&C服务器上下载GravityRAT有效载荷,并在被感染的设备上添加一个预定任务以获得持久性。 (消息来源:cnbeta,封面来自网络)
Apple Mail 收集部分用户加密邮件,以文本形式存于数据库中
苹果专家 Bob Gendler 发现 Apple Mail 将一部分用户的加密电子邮件以纯文本形式保存在名为 snippets.db 的数据库中。这个问题影响到所有用户的macOS 版本,包括最新的Catalina。 该问题目前尚未解决。 专家在调查macOS和Siri如何向用户推荐联系人和信息时发现了此问题。 “如果你从Apple Mail发送电子邮件,其他人就有方法可以读取这些电子邮件的某些文本,就像未加密一样——苹果知道这个消息已经有数月之久,但一直没有修复。” The Verge在其发布的一篇文章中写道。 专家发现,如果使用Apple Mail发送和接收加密的电子邮件,Siri会收集文本内容并将这些信息存储在数据库中。 该文章称:“snippets.db 数据库目前完全是以未加密状态存储这些本应加密的电子邮件,哪怕是禁用Siri,或者没有私钥,这些邮件仍然是可读取的。大多数人会认为禁用Siri会停止 macOS 收集用户信息。” “对于使用加密电子邮件并希望其内容受到保护的政府,公司和普通人来说,这是一个大问题。” 但是禁用Siri无法解决该问题,因为“建议”的过程中系统将持续抓取电子邮件。 专家提出了以下三种方法来阻止从 Apple Mail 抓取消息: 1.手动单击设置,转到系统偏好设置→Siri→Siri建议和隐私→取消选中“Apple Mail”复选框。 2.在终端中运行以下命令以从Apple Mail中关闭Siri: defaults write com.apple.suggestions SiriCanLearnFromAppBlacklist -array com.apple.mail 3.部署系统级别(适用于所有用户)的 配置文件 以关闭Siri,使其无法从Apple Mail中学习用户习惯。 第三种解决方案是永久性的,它将禁用 macOS 和Siri收集所有用户的邮件信息。专家解释说,将来的操作系统更新将会禁止Siri从Apple Mail抓取信息。 Gendler 还建议手动删除 snippets.db 在 “/Users/(username)/Library/Suggestions/”. 中的 snippets.db 文件。 消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接