El reciente descubrimiento de explotar cadenas dirigidas a Apple iOS es El último ejemplo de cómo los ciberdelincuentes pueden operar con éxito campañas maliciosas, sin ser detectadas, mediante el uso de vulnerabilidades de día cero.
En este escenario, un actor o actores de amenazas operaron múltiples sitios world wide web comprometidos, utilizando al menos una o más vulnerabilidades de día cero y numerosas cadenas de exploits únicas y vulnerabilidades conocidas para comprometer los iPhones, incluso las últimas versiones del sistema operativo, durante más de dos años. . Se necesita un talento y recursos extraordinarios para operar este tipo de infraestructura sin ser detectado, ya que potencialmente miles de usuarios se vieron comprometidos sin que se identificara la campaña.
Cada villano necesita un héroe, y esta campaña subraya la importancia de la investigación de amenazas y la divulgación de vulnerabilidad responsable. Los cibercriminales se vuelven más rápidos, más inteligentes y más peligrosos con cada día que pasa. El poder colectivo de una comunidad world de investigadores que trabajan juntos para identificar y revelar vulnerabilidades críticas, como las utilizadas en este ataque, es una forma importante de lograr un progreso significativo hacia la eliminación de este tipo de campañas maliciosas. Igualmente importante es la disección de los ataques posteriores para exponer características únicas e interesantes y capacitar a los defensores y desarrolladores para mitigar estas amenazas en el futuro. Dicho esto, echemos un vistazo.
Un ataque que se esconde a uncomplicated vista
Este ataque es único en el sentido de que el implante no funcionaba sigilosamente y estaba cargando información sin cifrado. Esto significa que un usuario que monitorea el tráfico de su purple notará actividad a medida que su información se carga en el servidor del atacante en texto sin cifrar.
Además, parece que quedan mensajes de depuración en el código, por lo que un usuario que conecta su teléfono a su computadora y revisa los registros de la consola, también notará actividad.
Sin embargo, dado el sistema operativo «cerrado» en el Apple iphone, un usuario necesitaría dar el paso adicional de conectar su teléfono a su computadora para notar estos indicadores de ataque. Dado esto, incluso un usuario avanzado probablemente no se dé cuenta de una infección.
El valor de los exploits de iOS
Encontrar exploits de iOS en typical es un desafío debido a la base de código patentada y las modernas mitigaciones de seguridad. Sin embargo, el tipo de exploits que no requieren la interacción del usuario y resultan en la ejecución completa de código remoto son los más raros, valiosos y difíciles de descubrir.
Para agregar más complejidad al ataque, muchas de las vulnerabilidades de los dispositivos móviles actuales requieren más de una vulnerabilidad para tener éxito en muchos casos, se requieren de 3 a 4 errores para lograr una ejecución remota de código elevada en un sistema de destino. Esto generalmente se debe a mitigaciones como sandboxes / contenedores, restricciones en la ejecución del código y la reducción de los privilegios del usuario, lo que hace necesaria una cadena de vulnerabilidades. Esta complejidad decrease la tasa de éxito de un ataque en función de la probabilidad de que uno o más de los errores sean descubiertos y «quemados» o reparados por el proveedor.
Apple es un jugador fuerte en el campo de la divulgación responsable, recientemente expandiendo su oferta de hasta $ 1 millón USD para ciertas vulnerabilidades. Agentes de vulnerabilidad, que revenden vulnerabilidades, supuestamente pagará hasta 3 millones de dólares para vulnerabilidades de ejecución remota de código de interacción cero en iOS. Es fácil comprender el valor de los errores que no requieren la interacción de la víctima y dan como resultado la ejecución remota de código completo. Con la popularidad de los sistemas operativos de Apple en los dispositivos móviles y las computadoras portátiles, incluso estos precios pueden no ser suficientes para alentar a los actores de amenazas a elegir revelar sus hallazgos de manera responsable con fines más nefastos.
El poder de la divulgación de vulnerabilidad
Dos de las preguntas más importantes que plantea este descubrimiento son cómo fue capaz de operar este adversario durante tanto tiempo, principalmente utilizando exploits conocidos, y qué tipo de impacto pudieron lograr.
Estas preguntas nos traen un círculo completo sobre el valor de la divulgación de vulnerabilidades. A través del análisis de components y software y la divulgación responsable, se puede lograr un progreso significativo hacia la exposición de este tipo de vulnerabilidades antes de que puedan ser aprovechados por los malos actores con fines nefastos.
