Apple corrige bugs de segurança explorados pelo spyware Predator • Strong The One

A Apple lançou patches esta semana para fechar falhas de segurança que foram exploradas por spyware comercial.

As atualizações, que foram lançadas ontem e devem ser instaladas o mais rápido possível, se não já, abordam até três falhas listadas no CVE. Acabamos de saber hoje que o spyware Predator vendido pela Intellexa usou essas vulnerabilidades para infectar pelo menos o iPhone de um alvo.

Os erros são:

1. CVE-2023-41991: De acordo com a Apple, “um aplicativo malicioso pode ignorar a validação de assinatura” e foi corrigido corrigindo “um problema de validação de certificado”.
2. CVE-2023-41992: Esta é uma falha de escalonamento de privilégios no nível do kernel que foi corrigida “com verificações aprimoradas”. Isso pode ser abusado por aplicativos e usuários não autorizados para obter os privilégios necessários para assumir o controle total de um dispositivo.
3. CVE-2023-41993: A Apple disse que “o processamento de conteúdo da web pode levar à execução arbitrária de código”, o que novamente foi resolvido “com verificações aprimoradas”. Uma página da Web criada com códigos maliciosos pode explorar isso quando alguém navega nessa página em um dispositivo vulnerável. Poderíamos ver esses bugs sendo encadeados: uma página da web poderia injetar código que elevasse seus privilégios ao nível do kernel para assumir o controle de um sistema, por exemplo.

Cada bug, de acordo com a Apple, “pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7”. No entanto, devido à forma como os vários produtos do iGiant partilham vários bits do mesmo código, não são apenas os iPhones e iOS que são vulneráveis: outros equipamentos da Apple são afetados e devem ser corrigidos para evitar futuras explorações.

Aqui está o que é afetado pelas falhas acima que a Apple está disposta a corrigir:

• MacOS Monterey 12.7: CVE-2023-41992 [advisory]
• macOS Ventura 13.6: CVE-2023-41991 e CVE-2023-41992 [advisory]
• watchOS 9.6.3: CVE-2023-41991 e CVE-2023-41992 (afetando o Apple Watch Series 4 e posterior) [advisory]
• watchOS 10.0.1: CVE-2023-41991 e CVE-2023-41992 (afetando o Apple Watch Series 4 e posterior) [advisory]
• iOS 16.7 e iPadOS 16.7: CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993 (afetando iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior e iPad mini de 5ª geração e depois) [advisory]
• iOS 17.0.1 e iPadOS 17.0.1: CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993 (afetando iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior , iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini de 5ª geração e posterior) [advisory]
• Safári 16.6.1: CVE-2023-41993 (afetando macOS Big Sur e Monterey) [advisory]

Essas falhas de segurança foram, disse a Apple, encontradas e relatadas em particular à gigante do Mac por Bill Marczak, do Citizen Lab da Munk School da Universidade de Toronto, no Canadá, e por Maddie Stone, do Threat Analysis Group (TAG) do Google.

Pedimos ao Google e ao Citizen Lab mais informações sobre a exploração potencial ou real desses bugs, como a forma como os dispositivos das pessoas estão sendo atacados.

No momento em que estávamos escrevendo este artigo, o Google nos respondeu com este aviso por Stone, que disse que o snoopware Predator da Intellexa abusou dos bugs do iOS para infectar pelo menos um iPhone.

De acordo com o Googler, o gigante da web e o Citizen Lab – que estão abertamente preocupados com spyware comercial – descobriram e relataram evidências dessa exploração na semana passada para a Apple abordar.

Fomos informados de que se um cliente da Intellexa desejasse atingir um internauta para vigilância, o tráfego HTTP não seguro desse alvo seria de alguma forma interceptado em um ataque man-in-the-middle para que o navegador Safari do seu iPhone fosse redirecionado silenciosamente para servidores operados pelo fornecedor do spyware. Se o visitante fosse determinado como o alvo desejado, esses servidores retornariam páginas que explorariam o CVE-2023-41993 no navegador do iPhone para obter execução remota de código.

Então CVE-2023-41991 seria usado para ignorar o código de autenticação do ponteiro (PAC), proteções, que usam assinaturas criptográficas nos bits superiores dos ponteiros de memória para impedir certos tipos de explorações. Prometemos um artigo detalhado do Google posteriormente, se você estiver interessado em saber como isso funciona.

Finalmente, CVE-2023-41992 é usado para obter execução dentro do kernel do sistema operacional, e uma pequena carga útil é executada para verificar novamente se o alvo é o correto e, em caso afirmativo, trazer o executável principal do Predator, que teria então execução completa do telefone, permitindo-lhe roubar dados e espionar o usuário para o cliente da Intellexa.

Intellexa foi adicionado à lista de entidades dos EUA em julho como uma ameaça à segurança nacional, dificultando aos negócios europeus fazer negócios com a América e os seus aliados.

“Esta campanha é mais um exemplo dos abusos causados ​​pela proliferação de fornecedores de vigilância comercial e do seu sério risco para a segurança dos utilizadores online”, escreveu Stone hoje.

“A TAG continuará a tomar medidas e a publicar pesquisas sobre a indústria de spyware comercial, bem como a trabalhar nos setores público e privado para impulsionar esse trabalho.

“Gostaríamos de reconhecer e agradecer ao Citizen Lab pela sua colaboração e parceria na captura e análise dessas explorações, e à Apple por implementar um patch oportuno para a segurança dos usuários online.”

Ela também incentivou as pessoas a usarem HTTPS seguro em vez de HTTP inseguro sempre que possível, pois isso ajudaria a evitar os redirecionamentos mencionados acima.

Isso não é tudo, já que Stone revelou que o Google também notou alguém instalando o Predator “em dispositivos Android no Egito” usando uma cadeia de exploração. Um bug nessa cadeia foi o CVE-2023-4762, uma falha no Chrome que foi corrigido em 5 de setembro – após um relatório de bug separado de um pesquisador – e havia sido usado anteriormente pelo Predator como dia zero.

Finalmente, da Apple há uma atualização de nível de segurança para iOS 17.0.2 para iPhone 15 que não possui detalhes ou CVEs atribuídos a ela. ®