BLASTPASS: BẮT GIỮ ĐƯỢC CHUỖI TẤN CÔNG ZERO-CLICK ZERO-DAY CỦA NSO GROUP TRÊN IPHONE TRONG TỰ NHIÊN
Tuần trước, trong quá trình kiểm tra thiết bị của một cá nhân làm việc tại tổ chức xã hội dân sự có văn phòng quốc tế tại Washington DC, Citizen Lab đã phát hiện một lỗ hổng zero-click đang bị tấn công mà NSO Group sử dụng để thực hiện tấn công bằng phần mềm gián điệp thuê Pegasus.
Chuỗi tấn công này được chúng tôi gọi là BLASTPASS. Chuỗi tấn công này có khả năng xâm nhập vào các thiết bị iPhone chạy phiên bản mới nhất của hệ điều hành iOS (phiên bản 16.6) mà không cần sự tương tác từ nạn nhân.
Lỗ hổng này liên quan đến các tệp đính kèm PassKit chứa hình ảnh độc hại được gửi từ tài khoản iMessage của kẻ tấn công tới nạn nhân.
Chúng tôi dự kiến sẽ công bố một bài thảo luận chi tiết hơn về chuỗi tấn công này trong tương lai.
Ngay sau đó, Citizen Lab đã thông báo phát hiện của chúng tôi cho Apple và hỗ trợ trong quá trình điều tra.
Apple đã phát hành hai CVE liên quan đến chuỗi tấn công này (CVE-2023-41064 và CVE-2023-41061).
Chúng tôi kêu gọi mọi người cập nhật ngay lập tức cho các thiết bị của mình.
Chúng tôi khuyến nghị mọi người có nguy cơ tăng cao do định danh hoặc công việc của mình để bật Chế độ khóa.
Chúng tôi ghi nhận sự nhanh nhẹn trong việc điều tra và vá lỗi của Apple, cũng như sự hợp tác và hỗ trợ của nạn nhân và tổ chức của họ.
Phát hiện mới nhất này một lần nữa cho thấy rằng xã hội dân sự là mục tiêu của các cuộc tấn công tinh vi và phần mềm gián điệp thuê.
Cập nhật của Apple sẽ bảo mật các thiết bị của người dùng thông thường, công ty và chính phủ trên toàn thế giới. Khám phá BLASTPASS nhấn mạnh giá trị đáng kinh ngạc của việc hỗ trợ các tổ chức xã hội dân sự trong lĩnh vực an ninh mạng chung của chúng ta. #BLASTPASS #ZeroClick #ZeroDay #NSOGroup #iPhone #Pegasus #CitizenLab #iOS #LockdownMode #CivilSociety #Cybersecurity
Last week, while checking the device of an individual employed by a Washington DC-based civil society organization with international offices, Citizen Lab found an actively exploited zero-click vulnerability being used to deliver NSO Group’s Pegasus mercenary spyware.
The BLASTPASS Exploit Chain
We refer to the exploit chain as BLASTPASS. The exploit chain was capable of compromising iPhones running the latest version of iOS (16.6) without any interaction from the victim.
The exploit involved PassKit attachments containing malicious images sent from an attacker iMessage account to the victim.
We expect to publish a more detailed discussion of the exploit chain in the future.
Disclosure to Apple & CVEs
Citizen Lab immediately disclosed our findings to Apple and assisted in their investigation.
Apple issued two CVEs related to this exploit chain (CVE-2023-41064 and CVE-2023-41061)
Update Apple Devices Now
We urge everyone to immediately update their devices.
We encourage everyone who may face increased risk because of who they are or what they do to enable Lockdown Mode.
We commend Apple for their rapid investigative response and patch cycle, and we acknowledge the victim and their organization for their collaboration and assistance.
Heavily-Targeted Civil Society: A Cybersecurity Early Warning System
This latest find shows once again that civil society is targeted by highly sophisticated exploits and mercenary spyware.
Apple’s update will secure devices belonging to regular users, companies, and governments around the globe. The BLASTPASS discovery highlights the incredible value to our collective cybersecurity of supporting civil society organizations.
