Vulnerabilidades de día cero en Apple iOS explotadas en …



ZecOps dice que uno de los defectos es explotable de forma remota sin necesidad de interacción del usuario.

Los atacantes, probablemente pertenecientes a un grupo de estado-nación, han estado explotando ampliamente dos vulnerabilidades sin parches en el sistema operativo iOS de Apple desde al menos enero de 2018.

Sus objetivos han incluido individuos de una compañía Fortune 500 en Norteamérica, un VIP de Alemania, un ejecutivo de una compañía de telecomunicaciones en Japón y varios proveedores de servicios de seguridad administrados en Arabia Saudita e Israel, reveló el vendedor de seguridad ZecOps en un informe el miércoles.

Los investigadores de la startup descubrieron las vulnerabilidades de día cero mientras realizaban una investigación de respuesta a incidentes en el sitio de un cliente. Los atacantes pueden activar los errores enviando un correo electrónico especialmente diseñado a la bandeja de entrada de MobileMail de iOS de un objetivo. Los errores están presentes en las versiones de iOS que se remontan a iOS 6 en 2012 hasta el nuevo iOS 13.4.1. Es posible que las versiones anteriores a iOS 6 también se vean afectadas, dijo ZecOps, y agregó que no había verificado si ese period realmente el caso.

Las fallas de día cero, como las que ZecOps reveló, son extremadamente raras en iOS y, por lo tanto, es probable que reciban una atención considerable de atacantes e investigadores. Los investigadores han notado anteriormente que los días cero de Apple pueden costar fácilmente más de $ 1 millón para aquellos, como los gobiernos y las agencias de inteligencia, que buscan comprarlos a los investigadores de seguridad.

Apple no respondió de inmediato a una solicitud de comentarios de Dark Looking through. Pero según ZecOps, la compañía ha desarrollado y lanzado una actualización beta de su sistema operativo que contiene un parche para las dos fallas. El parche estará generalmente disponible cuando Apple lance iOS 13.4.5.

En una pregunta frecuente que acompaña a su anuncio de descubrimiento de errores, ZecOps dijo que había decidido divulgar información sobre las fallas antes de que un parche estuviera disponible, por múltiples razones. «Estos errores por sí solos no pueden causar daño a los usuarios de iOS, ya que los atacantes requerirían un error adicional de fuga de información y un mistake de kernel para el command complete del dispositivo objetivo», dijo ZecOps.

Ambos errores también fueron revelados a través de la actualización beta pública de Apple. Por lo tanto, los atacantes ya conocen el problema y probablemente estén interesados ​​en explotar los problemas lo antes posible. La visibilidad limitada de ZecOps ha demostrado que al menos seis organizaciones se han visto afectadas por los errores, por lo que al revelar los problemas, más organizaciones tienen la oportunidad de protegerse contra la amenaza, dijo el proveedor de seguridad.

Una de las vulnerabilidades de día cero, un error de desbordamiento del montón remoto en iOS 13.4 / 13.4.1, es lo que ZecOps describió como «clic cero» porque es explotable de forma remota sin ninguna interacción del usuario en dispositivos que ejecutan iOS 13 con la aplicación de correo predeterminada Abrir en el fondo.

Los atacantes pueden explotar la vulnerabilidad mediante el envío de correos electrónicos que consumen una cantidad significativa de memoria en dispositivos vulnerables, dijo ZecOps. Los correos electrónicos no tienen que ser especialmente grandes, pero deben estar diseñados para que consuman mucha RAM. El otro error es una vulnerabilidad de escritura llamada fuera de los límites (OOB) que también puede explotarse a través de un correo electrónico especialmente diseñado. Sin embargo, con este error, un usuario de iOS necesitaría hacer clic en el correo electrónico para ejecutar el exploit.

Difícil de explotar
«Las vulnerabilidades son bastante graves, lo que resulta en la ejecución remota de código», dice Costin Raiu, director del equipo worldwide de investigación y análisis de Kaspersky. «Esto es prácticamente tan malo como se pone». En distinct, el mistake que afecta a iOS 13 es grave porque la explotación es un proceso de clic cero, que no requiere interacción del usuario. «Esto significa que el ataque puede ser casi invisible», dice Raiu.

Al mismo tiempo, los atacantes tendrán que trabajar duro para explotar los errores, dice. ZecOps ha notado que su telemetría apunta a que los atacantes son parte de un conocido grupo de estado-nación. Es probable que el operador haya comprado el exploit a un investigador externo como código de prueba de concepto y luego lo haya utilizado tal cual con algunas modificaciones, dijo el proveedor.

«Diría que la explotación de iOS en typical no es una tarea fácil», dice Raiu. «Apple sigue tratando de hacer que el computer software y el hardware de iOS sean más resistentes a los ataques, y esto se puede ver directamente en el precio de las vulnerabilidades de iOS en plataformas como Zerodium», señala.

Una cadena de exploits iOS de clic cero completo vale aproximadamente $ 2 millones actualmente, dice. «Como en la mayoría de los casos, explotarlos es bastante diferente de explotarlos de manera confiable», agrega Raiu.

Según ZecOps, cuando se explotan los errores, es poco possible que la mayoría de los usuarios de iOS noten mucho más que una desaceleración de su aplicación de correo móvil predeterminada. En algunos casos, los intentos de explotación han provocado el bloqueo de la aplicación de correo en dispositivos iOS 12. Pero los usuarios de iOS 13 generalmente experimentan una desaceleración de la aplicación de correo apenas notable, dijo ZecOps. Con ataques fallidos, los usuarios pueden ver el correo electrónico con la alerta «Este mensaje no tiene contenido», dijo el proveedor de seguridad.

ZecOps dijo que sus investigadores habían observado que tanto el error OOB como, en distinct, el problema del desbordamiento del montón se explotaban en la naturaleza. Pero parece que los atacantes inicialmente podrían haber activado al menos el error OOB accidentalmente al tratar de explotar el problema de desbordamiento del montón.

«Si bien ZecOps se abstiene de atribuir estos ataques a un actor de amenaza específico, somos conscientes de que al menos una organización de &#39piratas informáticos&#39 está vendiendo exploits utilizando vulnerabilidades que aprovechan las direcciones de correo electrónico como identificador principal», dijo el proveedor.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más tips





Enlace a la noticia first