Apple Patches aktywnie wykorzystuje Zero-Day w swoim ekosystemie
Firma Apple niedawno wprowadziła serię aktualizacji swoich systemów operacyjnych i przeglądarki Safari, usuwając kilka luk w zabezpieczeniach, które były aktywnie wykorzystywane przez nieznanych cyberprzestępców. Wśród tych luk znajdują się dwie luki dnia zerowego, które były wykorzystywane w kampanii inwigilacyjnej o nazwie Operation Triangulation od 2019 roku.
Pierwsza luka, CVE-2023-32434, to błąd przepełnienia liczb całkowitych w jądrze, który może zostać wykorzystany przez złośliwą aplikację do wykonania dowolnego kodu z uprawnieniami jądra. Druga luka, CVE-2023-32435, dotyczy uszkodzenia pamięci w pakiecie WebKit, co może skutkować wykonaniem dowolnego kodu podczas przetwarzania specjalnie spreparowanej zawartości internetowej.
Firma Apple przyznała, że te dwie luki mogły być aktywnie wykorzystywane w wersjach systemu iOS wydanych przed iOS 15.7. W swojej analizie naukowcy odkryli implant spyware znany jako TriangleDB, który został dostarczony poprzez ataki bez kliknięć za pośrednictwem iMessages, zawierające exploita umożliwiającego zdalne wykonanie kodu.
Spyware rezyduje wyłącznie w pamięci
Implant działa wyłącznie w pamięci, co utrudnia jego wykrycie, i ma różne możliwości gromadzenia i śledzenia danych, w tym interakcję z systemem plików, zarządzanie procesami, wyodrębnianie elementów pęku kluczy w celu zbierania danych uwierzytelniających i monitorowanie geolokalizacji.
Oprócz dni zerowych firma Apple załatała również inną lukę w zabezpieczeniach, CVE-2023-32439, która może prowadzić do wykonania dowolnego kodu podczas przetwarzania złośliwej zawartości internetowej. Aktualizacja jest dostępna na różne platformy, w tym iOS, iPadOS, macOS, watchOS i Safari.
Dzięki tym najnowszym poprawkom łączna liczba luk dnia zerowego wykrytych przez Apple w tym roku wzrosła do dziewięciu. W poprzednich aktualizacjach firma Apple rozwiązała inne luki w zabezpieczeniach, takie jak usterka WebKit (CVE-2023-23529), która umożliwiała zdalne wykonanie kodu, oraz dwa błędy (CVE-2023-28205 i CVE-2023-28206), które umożliwiały wykonanie kodu z podwyższonymi uprawnieniami.
