image

Google: macOS-gebruikers via zerodaylek besmet met backdoor

vrijdag 12 november 2021, 11:56 door Redactie, 7 reacties

MacOS-gebruikers zijn eind augustus het doelwit geworden van een aanval waarbij er een zerodaylek werd gebruikt om systemen met een backdoor te infecteren, zo laat Google in een analyse weten. Ook iOS-gebruikers waren het doelwit. Apple kwam op 23 september met een beveiligingsupdate voor de aangevallen macOS-kwetsbaarheid, die wordt aangeduid als CVE-2021-30869.

De aanval was gericht tegen bezoekers van Hongkongse websites van een mediabedrijf en een pro-democratische politieke groepering. Aanvallers hadden deze websites gecompromitteerd en voorzien van twee iframes waarmee vanaf een server exploits voor iOS en macOS werden geladen. Het lukte Google niet om de volledige aanvalsketen voor iOS in handen te krijgen, behalve dat er gebruik werd gemaakt van een kwetsbaarheid in WebKit (CVE-2019-8506) waarvoor Apple op 25 maart 2019 al een update had uitgebracht. WebKit is de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken. Verdere details over andere gebruikte kwetsbaarheden en malware bij de iOS-aanval zijn echter onbekend.

Dat is niet het geval voor de zeroday-aanval op macOS-gebruikers, die Google wel in handen kreeg. De exploit van de aanvallers combineerde een kwetsbaarheid in WebKit met een beveiligingslek in de XNU-kernel van macOS. Voor het beveiligingslek in WebKit (CVE-2021-1789) had Apple op 5 januari van dit jaar een update uitgebracht. Het XNU-lek was echter een zeroday. Via deze kwetsbaarheid kan een malafide applicatie of een aanvaller die toegang tot het systeem heeft, code met kernelrechten uitvoeren en zo volledige controle over het systeem kan krijgen.

Via de aanval werd een backdoor geïnstalleerd waarmee het mogelijk is om besmette systemen te fingerprinten, schermopnames te maken, bestanden te downloaden en uploaden, terminal commando's uit te voeren, audio op te nemen en toetsaanslagen op te slaan. Google merkt op dat de aanval vanwege beveiligingsmaatregelen die Apple heeft toegevoegd aan Big Sur niet tegen deze macOS-versie werkte. In het geval van Mojave en Catalina waren gebruikers beschermd als ze de macOS-update van januari hadden geïnstalleerd.

Reacties (7)
12-11-2021, 12:33 door Anoniem
Dit demonstreert maar weer eens hoe belangrijk het is om je systeem tijdig te patchen!
12-11-2021, 15:29 door Anoniem
Door Anoniem: Dit demonstreert maar weer eens hoe belangrijk het is om je systeem tijdig te patchen!
Dat geldt toch voor elk apparaat/OS ?
12-11-2021, 16:37 door Anoniem
Door Anoniem:
Door Anoniem: Dit demonstreert maar weer eens hoe belangrijk het is om je systeem tijdig te patchen!
Dat geldt toch voor elk apparaat/OS ?

duh, dat zegt hij toch niet, dit artikel gaat specifiek over macOS, en ja dat patchen is altijd noodzakelijk, ook voor andere systemen/software
12-11-2021, 22:11 door Anoniem
Door Anoniem: Dit demonstreert maar weer eens hoe belangrijk het is om je systeem tijdig te patchen!
Zelfs al update je op tijd, Apple moet gewoon van webkit en imessage afstappen, beide zijn zo lek als een mandje. En iOS verplicht je om webkit te gebruiken, ongeacht welke browser je gebruikt.
12-11-2021, 22:25 door Anoniem
Door Anoniem:
Door Anoniem: Dit demonstreert maar weer eens hoe belangrijk het is om je systeem tijdig te patchen!
Dat geldt toch voor elk apparaat/OS ?

Reageren om het reageren. Wat is de definitie van "systeem" dan?
14-11-2021, 23:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit demonstreert maar weer eens hoe belangrijk het is om je systeem tijdig te patchen!
Dat geldt toch voor elk apparaat/OS ?

Reageren om het reageren. Wat is de definitie van "systeem" dan?
HIER macOS, zoals in het artikel staat!
15-11-2021, 13:05 door Anoniem
Volgens mij klopt de kop boven dit artikel niet.
Alleen systemen die niet op tijd van updates waren voorzien lopen het risico dat ze besmet zijn als ze op die websites in Hong Kong zijn geweest.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.