Apple patcht actief uitgebuite Zero-Day in zijn ecosysteem
Apple heeft onlangs een reeks updates voor zijn besturingssystemen en Safari-browser uitgerold, die verschillende kwetsbaarheden aanpakken die actief werden uitgebuit door onbekende bedreigingsactoren. Onder deze kwetsbaarheden bevinden zich twee zero-days die sinds 2019 zijn gebruikt in een bewakingscampagne genaamd Operation Triangulation.
De eerste kwetsbaarheid, CVE-2023-32434, is een integer overflow-fout in de kernel die door een kwaadwillende app kan worden misbruikt om willekeurige code uit te voeren met kernelprivileges. De tweede kwetsbaarheid, CVE-2023-32435, is een probleem met geheugenbeschadiging in WebKit dat kan leiden tot het uitvoeren van willekeurige code bij het verwerken van speciaal vervaardigde webinhoud.
Apple heeft erkend dat deze twee kwetsbaarheden mogelijk actief zijn misbruikt in iOS-versies die vóór iOS 15.7 zijn uitgebracht. In hun analyse ontdekten de onderzoekers een spyware-implantaat dat bekend staat als TriangleDB, dat werd afgeleverd door middel van zero-click-aanvallen via iMessages met daarin een exploit voor een kwetsbaarheid voor het uitvoeren van externe code.
Spyware bevindt zich uitsluitend in het geheugen
Het implantaat werkt uitsluitend in het geheugen, waardoor het moeilijk te detecteren is, en het heeft verschillende mogelijkheden voor het verzamelen en volgen van gegevens, waaronder interactie met het bestandssysteem, procesbeheer, extractie van sleutelhangeritems voor het verzamelen van inloggegevens en monitoring van geolocatie.
Naast de zero-days heeft Apple ook een andere kwetsbaarheid gepatcht, CVE-2023-32439, die kan leiden tot het uitvoeren van willekeurige code bij het verwerken van schadelijke webinhoud. De update is beschikbaar voor verschillende platforms, waaronder iOS, iPadOS, macOS, watchOS en Safari.
Deze nieuwste fixes brengen het totale aantal zero-day-kwetsbaarheden dat dit jaar door Apple is aangepakt op negen. In eerdere updates loste Apple andere kwetsbaarheden op, zoals een WebKit-fout (CVE-2023-23529) waardoor externe code kon worden uitgevoerd en twee bugs (CVE-2023-28205 en CVE-2023-28206) die code-uitvoering met verhoogde bevoegdheden mogelijk maakten.
