Días después de Google, Apple revela el día cero explotado en el motor del navegador

Apple ha corregido un error de día cero explotado activamente en su motor de navegador WebKit para Safari.

El error, asignado como CVE-2024-23222, surge de un error de confusión de tipos, que básicamente es lo que sucede cuando una aplicación asume incorrectamente que la entrada que recibe es de cierto tipo sin validar realmente, o validar incorrectamente, que ese sea el caso.

Explotado activamente

Apple describió ayer la vulnerabilidad como algo que un atacante podría aprovechar para ejecutar código arbitrario en los sistemas afectados. "Apple está al tanto de un informe que indica que este problema puede haber sido explotado", señaló el aviso de la compañía, sin ofrecer más detalles.

La empresa ha lanzado versiones actualizadas de iOS, iPadOS, macOS, iPadOS y tvOS con comprobaciones de validación adicionales para abordar la vulnerabilidad.

CVE-2024-23222 es la primera vulnerabilidad de día cero que Apple ha revelado en WebKit en 2024. El año pasado, la compañía reveló un total de 11 errores de día cero en la tecnología, la mayor cantidad en un solo año calendario. Desde 2021, Apple ha revelado un total de 22 errores de día cero de WebKit, lo que destaca el creciente interés en el navegador tanto por parte de investigadores como de atacantes.

Paralelamente, la divulgación por parte de Apple del nuevo WebKit de día cero sigue a la divulgación por parte de Google la semana pasada de un día cero en Chrome. Es al menos la tercera vez en los últimos meses que ambos proveedores han revelado días cero en sus respectivos navegadores muy cerca uno del otro. La tendencia sugiere que investigadores y atacantes están investigando casi por igual fallas en ambas tecnologías, probablemente porque Chrome y Safari son también los navegadores más utilizados.

La amenaza del espionaje

Apple no ha revelado la naturaleza de la actividad de explotación dirigida al error de día cero recientemente revelado. Pero los investigadores han informado haber visto proveedores comerciales de software espía que abusan de algunos de los más recientes de la compañía para colocar software de vigilancia en los iPhone de los sujetos objetivo.

En septiembre de 2023, el Citizen Lab de la Universidad de Toronto advirtió a Apple sobre dos vulnerabilidades de día cero sin clic en iOS que un proveedor de software de vigilancia había aprovechado para colocar la herramienta de software espía Predator en un iPhone perteneciente a un empleado de una organización con sede en Washington, DC. El mismo mes, los investigadores de Citizen Lab también informaron sobre una cadena separada de exploits de día cero, que incluía un error de Safari, que habían descubierto dirigida a dispositivos iOS.

Google ha señalado preocupaciones similares en Chrome, casi en conjunto con Apple, en algunas ocasiones recientemente. En septiembre de 2023, por ejemplo, casi al mismo tiempo que Apple reveló sus errores de día cero, los investigadores del grupo de análisis de amenazas de Google identificaron que una empresa de software comercial llamada Intellexa estaba desarrollando una cadena de exploits, que incluía un error de día cero de Chrome (CVE-2023-4762) — para instalar Predator en dispositivos Android. Unos días antes, Google había revelado otro día cero en Chrome (CVE-2023-4863) en la misma biblioteca de procesamiento de imágenes en la que Apple había revelado un día cero.

Lionel Litty, arquitecto jefe de seguridad de la firma de seguridad de navegadores Menlo Security, dice que es difícil decir si existe alguna conexión entre Google y el primer navegador de día cero de Apple para 2024, dada la limitada información disponible actualmente. "Chrome CVE estaba en el motor JavaScript (v8) y Safari usa un motor JavaScript diferente", dice Litty. "Sin embargo, no es raro que diferentes implementaciones tengan fallas muy similares".

Una vez que los atacantes han encontrado un punto débil en un navegador, también son conocidos por explorar otros navegadores en la misma área, dice Litty. "Entonces, si bien es poco probable que se trate exactamente de la misma vulnerabilidad, no sería demasiado sorprendente si hubiera algún ADN compartido entre los dos exploits en estado salvaje".

Explosión de ataques de phishing de hora cero basados ​​en navegadores

Los proveedores de vigilancia no son, de lejos, los únicos que intentan explotar las vulnerabilidades de los navegadores y de los navegadores en general. Según un informe de Menlo Security que se publicará próximamente, hubo un aumento del 198 % en los ataques de phishing basados ​​en navegador en la segunda mitad de 2023 en comparación con los primeros seis meses del año. Los ataques evasivos, una categoría que Menlo describe como el uso de técnicas para evadir los controles de seguridad tradicionales, aumentaron aún más, en un 206 %, y representaron el 30 % de todos los ataques basados ​​en navegador en la segunda mitad de 2023.

Durante un período de 30 días, Menlo dice que observó más de 11,000 ataques de phishing basados ​​en navegador llamados “hora cero” que evaden Secure Web Gateway y otras herramientas de detección de amenazas a terminales.

"El navegador es la aplicación empresarial sin la que las empresas no pueden vivir, pero se ha quedado atrás desde una perspectiva de seguridad y capacidad de gestión", afirmó Menlo en el próximo informe.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine