Adload macOS adware อาจใช้ประโยชน์จากช่องโหว่ในการข้ามการตรวจสอบความเป็นส่วนตัว ซึ่งได้รับการแก้ไขใน Sequoia 15 เมื่อเดือนที่แล้ว
ไมโครซอฟท์เตือนเมื่อวันพฤหัสบดีเกี่ยวกับช่องโหว่ macOS ที่เพิ่งถูกแก้ไข ซึ่งอาจถูกใช้ในการโจมตีด้วย adware
ปัญหานี้ถูกติดตามด้วยรหัส CVE-2024-44133 ซึ่งเปิดโอกาสให้ผู้โจมตีข้ามเทคโนโลยี **Transparency, Consent, and Control (TCC)** ของระบบปฏิบัติการและเข้าถึงข้อมูลผู้ใช้ได้
แอปเปิลได้แก้ไขบั๊กนี้ใน macOS Sequoia 15 เมื่อกลางเดือนกันยายน โดยการลบโค้ดที่มีช่องโหว่ออกไป และระบุว่าอุปกรณ์ที่ได้รับผลกระทบคืออุปกรณ์ที่บริหารจัดการผ่าน **MDM**
ไมโครซอฟท์กล่าวว่า การใช้ประโยชน์จากข้อบกพร่องนี้ “เกี่ยวข้องกับการลบการป้องกัน TCC สำหรับไดเรกทอรีของเบราว์เซอร์ Safari และแก้ไขไฟล์การตั้งค่าในไดเรกทอรีดังกล่าวเพื่อเข้าถึงข้อมูลผู้ใช้ รวมถึงหน้าเว็บที่ถูกเยี่ยมชม กล้องของอุปกรณ์ ไมโครโฟน และตำแหน่งที่ตั้งของอุปกรณ์ โดยที่ผู้ใช้ไม่ยินยอม”
ตามที่ไมโครซอฟท์ระบุ ข้อบกพร่องนี้มีผลเฉพาะกับ Safari เนื่องจากเบราว์เซอร์ของบุคคลที่สามไม่มีสิทธิ์พิเศษส่วนตัว (private entitlements) แบบเดียวกับแอปพลิเคชันของ Apple จึงไม่สามารถข้ามการตรวจสอบการป้องกันได้
TCC ป้องกันไม่ให้แอปพลิเคชันเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากผู้ใช้ แต่แอปพลิเคชันบางตัวของ Apple เช่น Safari มีสิทธิพิเศษที่อาจทำให้ข้ามการตรวจสอบของ TCC ได้ในบางบริการ
ไมโครซอฟท์อธิบายว่า การโจมตีนี้เรียกว่า **HM Surf** ผู้โจมตีสามารถใช้ข้อบกพร่องนี้เพื่อถ่ายภาพสแน็ปชอต บันทึกกล้องหรือไมโครโฟน สตรีมเสียง และเข้าถึงตำแหน่งที่ตั้งของอุปกรณ์ นอกจากนี้ ยังสามารถป้องกันการตรวจจับได้โดยรัน Safari ในหน้าต่างขนาดเล็กมาก
ไมโครซอฟท์ยังสังเกตเห็นกิจกรรมที่เกี่ยวข้องกับ **Adload** ซึ่งเป็นครอบครัว adware ใน macOS ที่สามารถให้ผู้โจมตีดาวน์โหลดและติดตั้ง payload เพิ่มเติม โดยอาจพยายามใช้ประโยชน์จาก CVE-2024-44133 และข้าม TCC
Credit: securityweek.com
