0
0
A Apple lançou patches para três vulnerabilidades de dia zero (CVE-2023-32434, CVE-2023-32435, CVE-2023-32439) exploradas na natureza.
Os dois primeiros foram relatados pelos pesquisadores da Kaspersky Georgy Kucherin, Leonid Bezvershenko e Boris Larin após a descoberta do implante de spyware iOS que apelidaram de TriangleDB, e o terceiro por um pesquisador anônimo.
As vulnerabilidades (CVE-2023-32434, CVE-2023-32435, CVE-2023-32439)
CVE-2023-32439 é um problema de confusão de tipo no mecanismo do navegador WebKit que pode ser acionado pelo dispositivo vulnerável que processa conteúdo da Web criado com códigos maliciosos e pode levar à execução arbitrária de código. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, disse a empresa, mas não ofereceu detalhes adicionais sobre o ataque.
CVE-2023-32434 é uma vulnerabilidade de estouro de número inteiro que afeta o kernel, que permite que um aplicativo execute código arbitrário com privilégios de kernel. CVE-2023-32435 é um problema de corrupção de memória no WebKit que pode levar à execução de código.
Referindo-se às descobertas da Kaspersky, a Apple diz que essas duas últimas vulnerabilidades “podem ter sido exploradas ativamente contra versões do iOS lançadas antes do iOS 15.7”.
O implante de spyware
No início de junho, os pesquisadores de segurança da Kaspersky revelaram que alguns de seus dispositivos iOS corporativos foram sobrecarregados com spyware anteriormente desconhecido.
A infecção aconteceu via iMessage – as vítimas recebem uma mensagem com um anexo contendo um exploit, que aciona uma vulnerabilidade que permite a execução de código, e o exploit baixa malware adicional de um servidor C2. Finalmente, a mensagem inicial e a exploração no anexo são excluídas.
A vítima não precisa abrir o iMessage para que a infecção aconteça.
“Os vestígios mais antigos de infecção que descobrimos aconteceram em 2019. Até o momento em que este artigo foi escrito, em junho de 2023, o ataque está em andamento, e a versão mais recente dos dispositivos visados com sucesso é o iOS 15.7”, acrescentaram.
Na quarta-feira, eles compartilharam mais detalhes sobre o spyware.
“O implante […] é implantado depois que os invasores obtêm privilégios de raiz no dispositivo iOS de destino explorando uma vulnerabilidade de kernel [ou seja, CVE-2023-32435]. Ele é implantado na memória, o que significa que todos os vestígios do implante são perdidos quando o dispositivo é reinicializado. Portanto, se a vítima reiniciar seu dispositivo, os invasores terão que reinfectá-lo enviando um iMessage com um anexo malicioso, iniciando assim toda a cadeia de exploração novamente. Caso não ocorra nenhuma reinicialização, o implante se desinstala após 30 dias, a menos que esse período seja estendido pelos invasores.”
O implante é capaz de manipular e exfiltrar arquivos, encerrar processos, recuperar entradas de chaveiro do dispositivo infectado, identificar a localização do dispositivo e executar módulos adicionais.
“Ao analisar o TriangleDB, descobrimos que a classe CRConfig (usada para armazenar a configuração do implante) tem um método chamado populateWithFieldsMacOSOnly. Este método não é chamado em nenhum lugar no implante iOS; no entanto, sua existência significa que os dispositivos macOS também podem ser alvo de um implante semelhante”, apontaram.
Atualize seus dispositivos!
As últimas atualizações da Apple trazem:
- iOS e iPadOS para as versões 16.5.1 e 15.7.7
- macOS para as versões 13.4.1, 12.6.7 e 11.7.8
- Safari para a versão 16.5.1
- watchOS para as versões 9.5.2 e 8.8.1
Os usuários devem atualizar seus dispositivos o mais rápido possível.
É improvável que o TriangleDB tenha sido amplamente implantado, mas se você suspeitar que está entre aqueles que podem ter sido alvos, você pode usar a ferramenta triangle_check fornecida pela Kaspersky para testar o backup do seu dispositivo móvel em busca de evidências de comprometimento.
FONTE: HELPNET SECURITY