Le patch Apple sfruttano attivamente Zero-Day nel suo ecosistema
Apple ha recentemente implementato una serie di aggiornamenti per i suoi sistemi operativi e il browser Safari, affrontando diverse vulnerabilità che venivano attivamente sfruttate da attori di minacce sconosciute. Tra queste vulnerabilità ci sono due giorni zero che sono stati utilizzati in una campagna di sorveglianza chiamata Operazione Triangolazione dal 2019.
La prima vulnerabilità, CVE-2023-32434, è un difetto di integer overflow nel kernel che potrebbe essere sfruttato da un'app dannosa per eseguire codice arbitrario con privilegi del kernel. La seconda vulnerabilità, CVE-2023-32435, è un problema di danneggiamento della memoria in WebKit che potrebbe causare l'esecuzione di codice arbitrario durante l'elaborazione di contenuti Web appositamente predisposti.
Apple ha riconosciuto che queste due vulnerabilità potrebbero essere state sfruttate attivamente nelle versioni iOS rilasciate prima di iOS 15.7. Nella loro analisi, i ricercatori hanno scoperto un impianto spyware noto come TriangleDB, che è stato distribuito tramite attacchi zero-click tramite iMessage contenenti un exploit per una vulnerabilità di esecuzione di codice in modalità remota.
Lo spyware risiede esclusivamente nella memoria
L'impianto opera esclusivamente in memoria, rendendo difficile il rilevamento, e ha varie capacità per la raccolta e il tracciamento dei dati, tra cui l'interazione con il file system, la gestione dei processi, l'estrazione di elementi del portachiavi per la raccolta delle credenziali e il monitoraggio della geolocalizzazione.
Oltre agli zero-day, Apple ha anche corretto un'altra vulnerabilità, CVE-2023-32439, che potrebbe portare all'esecuzione di codice arbitrario durante l'elaborazione di contenuti Web dannosi. L'aggiornamento è disponibile per varie piattaforme, tra cui iOS, iPadOS, macOS, watchOS e Safari.
Queste ultime correzioni portano a nove il numero totale di vulnerabilità zero-day risolte da Apple quest'anno. Negli aggiornamenti precedenti, Apple ha risolto altre vulnerabilità, come un difetto WebKit (CVE-2023-23529) che consentiva l'esecuzione di codice in modalità remota e due bug (CVE-2023-28205 e CVE-2023-28206) che consentivano l'esecuzione di codice con privilegi elevati.
