Apple đã phát hành các bản vá bảo mật trong tuần này để khắc phục các lỗ hổng an ninh đã được khai thác trong tự nhiên bởi phần mềm gián điệp thương mại. Các bản cập nhật, được phát hành ngày hôm qua và nên được cài đặt ngay lập tức nếu chưa được cài đặt, đã khắc phục tới ba lỗi được liệt kê trong CVE. Chúng tôi mới chỉ biết ngày hôm nay rằng phần mềm gián điệp Predator do Intellexa bán đã sử dụng những lỗ hỏng này để tấn công ít nhất một chiếc iPhone của mục tiêu. Các lỗi là:
– CVE-2023-41991: Theo Apple, “một ứng dụng độc hại có thể vượt qua xác minh chữ ký” và đã được sửa chữa bằng cách sửa “vấn đề xác minh chứng chỉ.”
– CVE-2023-41992: Đây là một lỗ hổng leo thăng đặc quyền cấp kernel đã được sửa chữa “bằng các kiểm tra cải tiến.” Điều này có thể bị lạm dụng bởi các ứng dụng và người dùng giả mạo để có đủ quyền hạn cần thiết để kiểm soát hoàn toàn một thiết bị.
– CVE-2023-41993: Apple nói rằng “xử lý nội dung web có thể dẫn đến thực thi mã ngẫu nhiên,” được giải quyết lại “với các kiểm tra cải tiến.” Một trang web được tạo ra một cách độc hại có thể khai thác điều này khi ai đó duyệt trang đó trên một thiết bị yếu. Chúng ta có thể thấy các lỗi này được kết hợp với nhau: một trang web có thể chèn mã để nâng cao quyền hạn lên cấp kernel để kiểm soát một hệ thống, ví dụ.
Theo Apple, mỗi lỗi “có thể đã bị khai thác chủ động trước các phiên bản iOS trước iOS 16.7.” Tuy nhiên, do cách mà các sản phẩm khác nhau của Apple chia sẻ các thành phần mã nguồn chung, không chỉ có iPhone và iOS bị tổn thương: các thiết bị Apple khác cũng bị ảnh hưởng và cần được vá để ngăn chặn những tấn công tiếp theo.
Dưới đây là những gì bị ảnh hưởng bởi các lỗi trên mà Apple mong muốn khắc phục:
– macOS Monterey 12.7: CVE-2023-41992 (cảnh báo)
– macOS Ventura 13.6: CVE-2023-41991 và CVE-2023-41992 (cảnh báo)
– watchOS 9.6.3: CVE-2023-41991 và CVE-2023-41992 (ảnh hưởng đến Apple Watch Series 4 và phiên bản sau đó) (cảnh báo)
– watchOS 10.0.1: CVE-2023-41991 và CVE-2023-41992 (ảnh hưởng đến Apple Watch Series 4 và phiên bản sau đó) (cảnh báo)
– iOS 16.7 và iPadOS 16.7: CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993 (ảnh hưởng đến iPhone 8 và các phiên bản sau đó, iPad Pro (tất cả các mô hình), iPad Air đời 3 và các phiên bản sau đó, iPad đời 5 và các phiên bản sau đó, và iPad mini đời 5 và các phiên bản sau đó) (cảnh báo)
– iOS 17.0.1 và iPadOS 17.0.1: CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993 (ảnh hưởng đến iPhone XS và các phiên bản sau đó, iPad Pro 12.9-inch đời 2 và các phiên bản sau đó, iPad Pro 10.5-inch, iPad Pro 11-inch đời 1 và các phiên bản sau đó, iPad Air đời 3 và các phiên bản sau đó, iPad đời 6 và các phiên bản sau đó, và iPad mini đời 5 và các phiên bản sau đó) (cảnh báo)
– Safari 16.6.1: CVE-2023-41993 (ảnh hưởng đến macOS Big Sur và Monterey) (cảnh báo)
Các lỗ hổng bảo mật này, theo Apple, đã được phát hiện và được báo cáo một cách riêng tư cho Apple bởi Bill Marczak của Citizen Lab tại Đại học Toronto ở Canada và Maddie Stone của Nhóm Phân Tích Mối Đe Dọa của Google (TAG). Chúng tôi đã yêu cầu Google và Citizen Lab cung cấp thêm thông tin về việc khai thác thực tế hoặc tiềm năng của các lỗi này, chẳng hạn như cách thiết bị của người dùng bị tấn công. Ngay khi chúng tôi viết bài này, Google đã trả lời chúng tôi với thông báo này của Stone, người nói rằng phần mềm gián điệp Predator của Intellexa đã lợi dụng các lỗi này trên iOS để đánh cắp ít nhất một chiếc iPhone. Theo Googler, công ty này và Citizen Lab – cả hai đều quan tâm đến phần mềm gián điệp thương mại – đã phát hiện và báo cáo chứng cứ về việc khai thác này vào tuần trước để Apple khắc phục. Chúng tôi được biết rằng nếu một khách hàng của Intellexa muốn theo dõi một người dùng để giám sát, lưu lượng HTTP không an toàn của mục tiêu sẽ bị chặn chéo giao thông thông qua một cuộc tấn công giữa người, để trình duyệt Safari của iPhone của họ được chuyển hướng một cách im lặng đến các máy chủ do nhà cung cấp phần mềm gián điệp điều hành. Nếu khách truy cập được xác định là mục tiêu mong muốn, các máy chủ đó sẽ trả về các trang sẽ khai thác CVE-2023-41993 trong trình duyệt iPhone để thực thi mã từ xa. Sau đó, CVE-2023-41991 sẽ được sử dụng để vượt qua mã xác thực con trỏ (PAC), sử dụng chữ ký mật mã trong các bit trên cùng của các con trỏ bộ nhớ để ngăn chặn một số loại khai thác. Chúng ta được hứa sẽ có một bài viết chi tiết sau từ Google nếu bạn quan tâm đến cách nó hoạt động. Cuối cùng, CVE-2023-41992 được sử dụng để thực thi trong kernel hệ điều hành, và một tải trọng nhỏ được chạy để kiểm tra lại xem mục tiêu có phải là mục tiêu đúng không và nếu đúng, đưa vào thực thi chính của Predator, từ đó có thể đánh cắp dữ liệu và giám sát người dùng cho khách hàng của Intellexa. Intellexa đã được thêm vào danh sách thực thể của Mỹ vào tháng 7 như là một mối đe dọa về an ninh quốc gia, làm cho nó khó khăn đối với doanh nghiệp châu Âu khi làm việc với Mỹ và đồng minh của nó. “Chiến dịch này lại là một ví dụ khác về những lạm dụng do sự phát triển của các nhà cung cấp phần mềm gián điệp thương mại và nguy cơ nghiêm trọng đối với sự an toàn của người dùng trực tuyến,” Stone viết hôm nay. “TAG sẽ tiếp tục hành động và công bố nghiên cứu về ngành công nghiệp phần mềm gián điệp thương mại, cũng như làm việc với các phần tử công và tư để thúc đẩy công việc này. “Chúng tôi muốn ghi nhận và cảm ơn Citizen Lab vì sự hợp tác và đối tác trong việc thu thập và phân tích các vụ khai thác này, và Apple vì triển khai bản vá đúng thời điểm để đảm bảo an toàn cho người dùng trực tuyến.” Bà cũng khuyến nghị mọi người sử dụng HTTPS an toàn hơn so với HTTP không an toàn nếu có thể, vì điều đó sẽ giúp ngăn chặn các chuyển hướng đã được nêu trên. Đó chưa phải tất cả, Stone tiết lộ rằng Google cũng nhận thấy có người cài đặt Predator “trên các thiết bị Android tại Ai Cập” bằng việc sử dụng một chuỗi lỗi khai thác. Một lỗi trong
Nguồn: https://www.theregister.com/2023/09/22/apple_emergency_patches/
Apple emitted patches this week to close security holes that have been exploited in the wild by commercial spyware.
The updates, which were issued yesterday and should be installed as soon as possible if not already, address as many as three CVE-listed flaws. We’ve just learned today that the Predator spyware sold by Intellexa used these vulnerabilities to infect at least one target’s iPhone.
The bugs are:
- CVE-2023-41991: According to Apple, “a malicious app may be able to bypass signature validation,” and was fixed by correcting “a certificate validation issue.”
- CVE-2023-41992: This is a kernel-level privilege escalation hole that was fixed “with improved checks.” This can be abused by rogue applications and users to gain the necessary privileges to take full control of a device.
- CVE-2023-41993: Apple said “processing web content may lead to arbitrary code execution,” which again was addressed “with improved checks.” A maliciously crafted webpage could exploit this when someone browses that page on a vulnerable device. We could see these bugs being chained together: a webpage could inject code that elevates its privileges to kernel level to take over a system, for instance.
Each bug, according to Apple, “may have been actively exploited against versions of iOS before iOS 16.7.” However, due to the way the iGiant’s various products share various bits of the same code, it’s not just iPhones and iOS that are vulnerable: other Apple gear is affected and ought to be patched so that further exploitation is prevented.
Here’s what’s affected by the above flaws that Apple is willing to patch up:
- macOS Monterey 12.7: CVE-2023-41992 (advisory)
- macOS Ventura 13.6: CVE-2023-41991 and CVE-2023-41992 (advisory)
- watchOS 9.6.3: CVE-2023-41991 and CVE-2023-41992 (Affecting Apple Watch Series 4 and later) (advisory)
- watchOS 10.0.1: CVE-2023-41991 and CVE-2023-41992 (Affecting Apple Watch Series 4 and later) (advisory)
- iOS 16.7 and iPadOS 16.7: CVE-2023-41991, CVE-2023-41992, and CVE-2023-41993 (Affecting iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later) (advisory)
- iOS 17.0.1 and iPadOS 17.0.1: CVE-2023-41991, CVE-2023-41992, and CVE-2023-41993 (Affecting iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later) (advisory)
- Safari 16.6.1: CVE-2023-41993 (Affecting macOS Big Sur and Monterey) (advisory)
Those security holes were, Apple said, found and privately reported to the Mac giant by Bill Marczak of The Citizen Lab at The University of Toronto’s Munk School in Canada, and by Maddie Stone of Google’s Threat Analysis Group (TAG).
We asked Google and Citizen Lab for more information about potential or actual exploitation of these bugs, such as how people’s devices are being attacked.
Just as we were writing up this article, Google got back to us with this advisory by Stone, who said Intellexa’s Predator snoopware abused the bugs on iOS to infect at least one iPhone.
According to the Googler, the web giant and Citizen Lab – which are both openly concerned about commercial spyware – discovered and reported evidence of this exploitation last week to Apple to address.
We’re told that if a customer of Intellexa wished to target a netizen for surveillance, that target’s non-secure HTTP traffic would be somehow intercepted in a man-in-the-middle attack so that their iPhone’s Safari browser would be silently redirected to servers operated by the spyware’s vendor. If the visitor was determined to be the desired target, those servers would then return pages that would exploit CVE-2023-41993 in the iPhone’s browser to achieve remote code execution.
Then CVE-2023-41991 would be used to bypass pointer authentication code (PAC) protections, which use cryptographic signatures in the upper bits of memory pointers to thwart certain kinds of exploits. We’re promised a detailed write-up later from Google if you’re interested in how that works.
Finally, CVE-2023-41992 is used to gain execution within the OS kernel, and a small payload is run to again check that the target is the correct one and if so, bring in the main Predator executable, which would then have full run of the phone, allowing it to steal data and snoop on the user for Intellexa’s client.
Intellexa was added to the US entity list in July as a national security threat, making it hard for the European biz to do business with America and its allies.
“This campaign is yet another example of the abuses caused by the proliferation of commercial surveillance vendors and their serious risk to the safety of online users,” Stone wrote today.
“TAG will continue to take action against, and publish research about, the commercial spyware industry, as well as work across the public and private sectors to push this work forward.
“We would like to acknowledge and thank The Citizen Lab for their collaboration and partnership in the capturing and analysis of these exploits, and Apple for deploying a timely patch for the safety of online users.”
She also urged people to use secure HTTPS rather than insecure HTTP where possible, as that would help prevent the aforementioned redirects.
That’s not all as Stone revealed that Google had also noticed someone installing Predator “on Android devices in Egypt” using an exploit chain. One bug in that chain was CVE-2023-4762, a flaw in Chrome that was patched on September 5 – following a separate bug report from a researcher – and had been earlier used by Predator as a zero-day.
Finally, from Apple there is a security-level update for iOS 17.0.2 for iPhone 15 that has no details or CVEs assigned to it. ®
Tell your friends
Some readers ask us if they can support The Register through some kind of subscription. The best way to back El Reg and keep our journalism flowing is to spread the word on social media, tell a colleague, sign up for a Register account and our newsletters, and comment away on articles.
Find and share us on Bluesky, LinkedIn, and Twitter. Tip us off with news. And thank you for reading.
[ad_2]
