Apple đã phát hành các bản vá khẩn cấp cho ba lỗ hổng zero-day mới bị khai thác, được các nhà nghiên cứu an ninh tin rằng là do các nhà cung cấp phần mềm gián điệp thương mại tạo ra. Điều này nghĩa là Apple đã sửa 16 zero-day trong năm nay, cho thấy sự phổ biến của sản phẩm Apple đã khiến nó trở thành mục tiêu hấp dẫn.
Theo các thông báo, Apple đã ghi công cho Bill Marczak của Citizen Lab tại Trường Munk, Đại học Toronto và Maddie Stone của Nhóm Phân tích Mối đe dọa của Google vì đã đưa ra lời nhắc nhở về các zero-day mới nhất. Có tổng cộng 16 lỗ hổng zero-day trong một năm là một con số đáng kể. Zero-day, theo định nghĩa, là các lỗ hổng chưa biết và chưa được vá mà có thể bị khai thác. Số lượng lớn này có thể cho thấy các thiết bị Apple, với sự phổ biến của chúng và cơ sở người dùng rộng lớn, là mục tiêu hấp dẫn đối với các nhà tấn công mạng nâng cao.
Callie Guenther, quản lý cấp cao nghiên cứu mối đe dọa mạng tại Critical Start, cho rằng việc nhiều lỗ hổng này được phát hiện bởi các nhóm như Citizen Lab và Nhóm Phân tích Mối đe dọa của Google, điều này cho thấy thiết bị Apple đang bị nhắm mục tiêu trong các cuộc tấn công tinh vi nhằm vào các cá nhân có danh tiếng cao.
Ví dụ, sau báo cáo ngày 7 tháng 9 của Citizen Lab rằng một lỗ hổng zero-click được khai thác tích cực đã được sử dụng để phân phối phần mềm gián điệp Pegasus của NSO Group trên một thiết bị Apple, Apple đã nhanh chóng sửa hai CVE để khắc phục vấn đề.
Phần mềm gián điệp Pegasus được phát triển và phân phối bởi NSO Group đã được sử dụng rộng rãi bởi cả các lĩnh vực tư nhân và chính phủ trên toàn cầu với mục đích giám sát các nhà báo, nhà hoạt động nhân quyền và dân sự, chính trị gia và các cá nhân khác.
Các zero-day đã được vá bởi Apple bao gồm:
– CVE-2023-41993: Lỗ hổng trình duyệt WebKit. Guenther của Critical Start nói rằng việc một lỗ hổng cho phép thực thi mã tùy ý có thể có ảnh hưởng lớn. Trang web độc hại có thể tác động trực tiếp đến một loạt người dùng và có thể gây nguy hiểm đến dữ liệu quan trọng.
– CVE-2023-41991: Lỗ hổng Framework Bảo mật. Khả năng bỏ qua xác minh chữ ký cho các ứng dụng là điều đáng lo ngại. Việc bỏ qua này có nghĩa là các ứng dụng độc hại có thể giả mạo thành các ứng dụng hợp lệ, có thể đánh lừa người dùng và kiểm tra phần mềm khác.
– CVE-2023-41992: Lỗ hổng Kernel Framework. Nhược điểm tiến hóa đặc quyền trong kernel đặc biệt nghiêm trọng, có thể cho phép một kẻ tấn công có quyền truy cập ban đầu vào hệ thống (thường với quyền hạn hạn) có thể có quyền hạn cao hơn, thậm chí là quyền root hoặc quản trị. Điều này có thể dẫn đến việc chiếm quyền hệ thống đầy đủ.
Ken Westin, Field CISO tại Panther Labs, cho rằng các lỗ hổng zero-day mới này có vẻ liên quan đến các nhà cung cấp phần mềm gián điệp thương mại khai thác các lỗ hổng zero-day. Westin cho biết có sự gia tăng đáng báo động trong việc sử dụng các lỗ hổng zero-day và các cuộc tấn công tương ứng được sử dụng bởi các nhà cung cấp phần mềm gián điệp thương mại.
Michael Covington, phó chủ tịch Chiến lược dòng sản phẩm tại Jamf, cho biết nên nhớ rằng Apple đã cập nhật quy trình phát hành phần mềm của mình vào đầu năm nay. Trong mô hình trước đó, Covington nói rằng các tính năng mới, sửa lỗi và vá lỗ hổng đều được giới thiệu dưới một bản phát hành duy nhất. Mô hình mới này tách riêng các bản vá bảo mật cấp bách khỏi các cập nhật chức năng, cho phép Apple giải quyết nhanh chóng các lỗ hổng đang bị khai thác một cách linh hoạt hơn.
Covington cho biết quy trình vá lỗ hổng bảo mật mới này, được gọi là Rapid Security Response (RSR), cho phép Apple phân phối các đoạn mã nhỏ hơn và thường xuyên hơn khi cần thiết.
Dù có sự chú ý đến các nền tảng của Apple khi chúng ngày càng phổ biến, không ngạc nhiên khi có nhiều lỗ hổng được phát hiện và khai thác. Theo Covington, mô hình RSR mới là một điều tốt cho ngành công nghiệp, vì nó cho phép các nhà cung cấp nhanh chóng sửa lỗi mà không cần lo lắng về việc bao gồm các cập nhật chức năng trong cùng một mã nguồn.
Apple on Thursday moved to patch three zero-day vulnerabilities actively exploited in the wild that security researchers believe are the work of commercial spyware vendors.
This now means Apple has fixed 16 zero-days this year, which security researchers said demonstrates that the popularity of Apple products has made it an attractive target.
In advisories, Apple credited Bill Marczak of The Citizen Lab at The University of Toronto’s Munk School and Maddie Stone of Google’s Threat Analysis Group for bringing the latest zero-days to their attention.
“A total of 16 zero-day vulnerabilities in a year is significant,” said Callie Guenther, senior manager, cyber threat research at Critical Start. “Zero-days, by definition, are previously unknown and unpatched vulnerabilities that can be exploited. This high number could suggest that Apple devices, given their popularity and extensive user base, are attractive targets for advanced threat actors.”
Guenther also noted the fact that many of these vulnerabilities were discovered by groups such as the Citizen Lab and Google’s Threat Analysis Group, which often focus on state-sponsored and high-level cyber-espionage campaigns, suggests that Apple devices are being targeted in sophisticated attacks against high-profile individuals.
For example, following a report Sept. 7 by Citizen Lab that an actively exploited zero-click vulnerability was used to deliver NSO Group’s Pegasus mercenary spyware on an Apple device, Apple quickly moved to issue two CVEs to rectify the issue.
The Pegasus spyware developed and distributed by the NSO Group has been widely used by both the private and government sectors across the globe for surveillance purposes against journalists, human and civil rights activists, politicians and other individuals.
The zero-days patched yesterday by Apple include the following:
- CVE-2023-41993: WebKit browser vulnerabilities. Critical Start’s Guenther said given that WebKit powers Apple’s Safari browser and many iOS apps, a flaw allowing arbitrary code execution can be highly impactful. Malicious web pages can directly impact a broad range of users and potentially compromise sensitive data. NIST reported that this issue was fixed in iOS 16.7 and iPadOS 16.7, iOS 17.0.1 and iPadOS 17.0.1, and Safari 16.6.1.
- CVE-2023-41991: Security Framework Vulnerability. The ability to bypass signature validation for apps is of high concern, said Guenther. Signature validation ensures the authenticity and integrity of apps. Bypassing this means malicious apps could masquerade as legitimate ones, potentially deceiving users and other software checks. NIST reported this issue was fixed in iOS 16.7 and iPadOS 16.7, iOS 17.0.1 and iPadOS 17.0.1, and Safari 16.6.1.
- CVE-2023-41992: Kernel Framework Vulnerability. Privilege escalation flaws in the kernel are particularly severe, said Guenther. They can allow a threat actor who has gained initial access to a system (often with limited permissions) to gain higher privileges, possibly even root or administrative access. This can lead to full system compromise. NIST reported this issue was fixed in iOS 16.7 and iPadOS 16.7, OS 17.0.1 and iPadOS 17.0.1, watchOS 9.6.3, macOS Ventura 13.6, macOS Monterey 12.7, and watchOS 10.0.1.
Ken Westin, Field CISO at Panther Labs, added that these new zero-day vulnerabilities appear to be tied to commercial spyware vendors exploiting zero-day vulnerabilities. Westin said there’s a disturbing rise in the use of zero-day vulnerabilities and corresponding exploits being utilized by commercial spyware vendors.
“The great work by Citizen Lab and Google in reporting these vulnerabilities to Apple indicates that these vulnerabilities have been exploited in the wild,” said Westin. “The work that’s being done to expose these vulnerabilities that are being exploited by commercial spyware vendors is also raising the cost of doing business for spyware vendors. When a particular vulnerability is used by commercial spyware vendors they now run the risk of their zero-day exploit being burned, so may only be able to leverage the exploit within a small window of time.”
Apple introduced critical security patches
Michael Covington, vice president of Portfolio Strategy at Jamf, said it’s helpful to remember that Apple updated its software release process just earlier this year. In the previous model, Covington said new features, bug fixes and patches were all introduced under a single release. This new model separates critical security patches from functional updates, which lets Apple stay more nimble with how they address vulnerabilities that are being actively exploited by attackers.
Covington said this new security patch process, delivered under the name of Rapid Security Response (RSR), lets Apple distribute much smaller pieces of code on a more regular basis, as the need arises.
“Given the attention Apple platforms are getting as they grow in popularity, it’s not surprising that there are more vulnerabilities discovered and exploited,” said Covington. “Regardless, the new RSR model is a good thing for the industry, as it allows a vendor to rapidly correct bugs without worrying about including feature updates in the same codebase.”
[ad_2]
