Μέρες μετά την Google, η Apple αποκαλύπτει το Exploited Zero-Day στη μηχανή περιήγησης

Μέρες μετά την Google, η Apple αποκαλύπτει το Exploited Zero-Day στη μηχανή περιήγησης

Χρονική σήμανση: 23 Ιανουαρίου 2024 6:30 μ.μ.
Κόμβος πηγής: 3081540

Η Apple έχει επιδιορθώσει ένα σφάλμα zero-day που χρησιμοποιήθηκε ενεργά στη μηχανή του προγράμματος περιήγησης WebKit για το Safari.

Το σφάλμα, εκχωρήθηκε ως CVE-2024-23222, πηγάζει από α σφάλμα σύγχυσης τύπου, το οποίο βασικά συμβαίνει όταν μια εφαρμογή υποθέτει εσφαλμένα ότι η είσοδος που λαμβάνει είναι συγκεκριμένου τύπου χωρίς να επικυρώνει πραγματικά —ή να επικυρώνει εσφαλμένα— αυτό να συμβαίνει.

Ενεργή εκμετάλλευση

Η Apple περιέγραψε χθες την ευπάθεια ως κάτι που ένας εισβολέας θα μπορούσε να εκμεταλλευτεί για να εκτελέσει αυθαίρετο κώδικα σε συστήματα που επηρεάζονται. «Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης», σημείωσε η συμβουλευτική εταιρεία της εταιρείας, χωρίς να δώσει περισσότερες λεπτομέρειες.

Η εταιρεία έχει κυκλοφορήσει ενημερωμένες εκδόσεις iOS, iPadOS, macOS, iPadOS και tvOS με πρόσθετους ελέγχους επικύρωσης για την αντιμετώπιση της ευπάθειας.

Το CVE-2024-23222 είναι η πρώτη ευπάθεια μηδενικής ημέρας που αποκάλυψε η Apple στο WebKit το 2024. Πέρυσι, η εταιρεία αποκάλυψε συνολικά 11 σφάλματα zero-day στην τεχνολογία — τα περισσότερα σε ένα μόνο ημερολογιακό έτος. Από το 2021, η Apple έχει αποκαλύψει συνολικά 22 σφάλματα WebKit zero-day, υπογραμμίζοντας το αυξανόμενο ενδιαφέρον για το πρόγραμμα περιήγησης τόσο από ερευνητές όσο και από εισβολείς.

Παράλληλα, η αποκάλυψη από την Apple του νέου WebKit zero-day ακολουθεί την αποκάλυψη της Google την περασμένη εβδομάδα ενός zero-day στο Chrome. Είναι τουλάχιστον η τρίτη φορά τους τελευταίους μήνες όπου και οι δύο προμηθευτές αποκαλύπτουν μηδενικές ημέρες στα αντίστοιχα προγράμματα περιήγησής τους σε κοντινή απόσταση μεταξύ τους. Η τάση υποδηλώνει ότι ερευνητές και εισβολείς διερευνούν σχεδόν εξίσου ελαττώματα και στις δύο τεχνολογίες, πιθανότατα επειδή το Chrome και το Safari είναι επίσης τα πιο ευρέως χρησιμοποιούμενα προγράμματα περιήγησης.

Η απειλή της κατασκοπείας

Η Apple δεν έχει αποκαλύψει τη φύση της δραστηριότητας εκμετάλλευσης που στοχεύει το νέο σφάλμα zero-day που αποκαλύφθηκε πρόσφατα. Ωστόσο, οι ερευνητές ανέφεραν ότι είδαν εμπορικούς πωλητές spyware να κάνουν κατάχρηση ορισμένων από τα πιο πρόσφατα της εταιρείας, για να εγκαταλείψουν το λογισμικό παρακολούθησης σε iPhone στοχευόμενων θεμάτων.

Τον Σεπτέμβριο του 2023, το Citizen Lab του Πανεπιστημίου του Τορόντο προειδοποίησε την Apple σχετικά δύο τρωτά σημεία zero-day χωρίς κλικ στο iOS που ένας προμηθευτής λογισμικού παρακολούθησης είχε εκμεταλλευτεί για να απορρίψει το εργαλείο spyware Predator σε ένα iPhone που ανήκε σε έναν υπάλληλο σε οργανισμό με έδρα την Ουάσινγκτον, DC. Τον ίδιο μήνα, οι ερευνητές του Citizen Lab ανέφεραν επίσης μια ξεχωριστή αλυσίδα εκμετάλλευσης μηδενικής ημέρας - η οποία περιελάμβανε ένα σφάλμα Safari - που είχαν ανακαλύψει ότι στόχευαν συσκευές iOS.

Η Google έχει επισημάνει παρόμοιες ανησυχίες στο Chrome, σχεδόν παράλληλα με την Apple, σε μερικές περιπτώσεις πρόσφατα. Για παράδειγμα, τον Σεπτέμβριο του 2023, σχεδόν την ίδια στιγμή που η Apple αποκάλυψε τα σφάλματα zero-day, ερευνητές από την ομάδα ανάλυσης απειλών της Google εντόπισαν μια εμπορική εταιρεία λογισμικού που ονομάζεται Intellexa ως αναπτυσσόμενη αλυσίδα εκμετάλλευσης — η οποία περιλάμβανε ένα Chrome zero-day.CVE-2023-4762) — για να εγκαταστήσετε το Predator σε συσκευές Android. Μόλις λίγες μέρες νωρίτερα, η Google είχε αποκαλύψει άλλη μια μηδενική ημέρα στο Chrome (CVE-2023-4863) στην ίδια βιβλιοθήκη επεξεργασίας εικόνας στην οποία η Apple είχε αποκαλύψει την ημέρα μηδέν.

Ο Lionel Litty, επικεφαλής αρχιτέκτονας ασφαλείας στην εταιρεία ασφαλείας προγράμματος περιήγησης Menlo Security, λέει ότι είναι δύσκολο να πούμε εάν υπάρχει σύνδεση μεταξύ της Google και του πρώτου προγράμματος περιήγησης μηδέν ημερών της Apple για το 2024, δεδομένων των περιορισμένων πληροφοριών που είναι διαθέσιμες αυτήν τη στιγμή. "Το Chrome CVE ήταν στη μηχανή JavaScript (v8) και το Safari χρησιμοποιεί διαφορετική μηχανή JavaScript", λέει ο Litty. "Ωστόσο, δεν είναι ασυνήθιστο για διαφορετικές υλοποιήσεις να έχουν πολύ παρόμοια ελαττώματα."

Μόλις οι εισβολείς βρουν ένα μαλακό σημείο σε ένα πρόγραμμα περιήγησης, είναι επίσης γνωστό ότι διερευνούν άλλα προγράμματα περιήγησης στην ίδια περιοχή, λέει ο Litty. «Έτσι, ενώ είναι απίθανο να πρόκειται για την ίδια ακριβώς ευπάθεια, δεν θα ήταν πολύ περίεργο αν υπήρχε κάποιο κοινό DNA μεταξύ των δύο in-the-wild exploits».

Έκρηξη σε επιθέσεις phishing που βασίζονται σε πρόγραμμα περιήγησης μηδενικής ώρας

Οι προμηθευτές επιτήρησης δεν είναι, μακράν, οι μόνοι που προσπαθούν να εκμεταλλευτούν τα τρωτά σημεία του προγράμματος περιήγησης και τα προγράμματα περιήγησης γενικά. Σύμφωνα με μια έκθεση της Menlo Security που θα δημοσιοποιηθεί σύντομα, σημειώθηκε αύξηση 198% στις επιθέσεις phishing που βασίζονται σε προγράμματα περιήγησης το δεύτερο εξάμηνο του 2023 σε σύγκριση με τους πρώτους έξι μήνες του έτους. Οι επιθέσεις αποφυγής - μια κατηγορία που ο Menlo περιγράφει ότι χρησιμοποιεί τεχνικές για την αποφυγή των παραδοσιακών ελέγχων ασφαλείας - αυξήθηκαν ακόμη περισσότερο, κατά 206% και αντιπροσώπευαν το 30% όλων των επιθέσεων που βασίζονται σε προγράμματα περιήγησης το δεύτερο εξάμηνο του 2023.

Σε μια περίοδο 30 ημερών, η Menlo λέει ότι παρατήρησε ότι περισσότερες από 11,000 επιθέσεις phishing που βασίζονται σε πρόγραμμα περιήγησης που αποκαλούνται «μηδενικής ώρας» αποφεύγουν το Secure Web Gateway και άλλα εργαλεία ανίχνευσης απειλών τελικού σημείου.

«Το πρόγραμμα περιήγησης είναι η επιχειρηματική εφαρμογή χωρίς την οποία οι επιχειρήσεις δεν μπορούν να ζήσουν, αλλά έχει μείνει πίσω από την άποψη της ασφάλειας και της διαχειρισιμότητας», δήλωσε ο Menlo στην επερχόμενη έκθεση.

Σφραγίδα ώρας:

Περισσότερα από Σκοτεινή ανάγνωση