Quelques jours après Google, Apple révèle l'exploitation du Zero-Day dans le moteur de navigateur

Republié par Platon

Suiveurs: 0

Apple a corrigé un bug zero-day activement exploité dans son moteur de navigateur WebKit pour Safari.

Le bug, attribué comme CVE-2024-23222, est issu d'un erreur de confusion de type, ce qui se produit essentiellement lorsqu'une application suppose à tort que l'entrée qu'elle reçoit est d'un certain type sans réellement valider – ou valider de manière incorrecte – que ce soit le cas.

Activement exploité

Apple a décrit hier la vulnérabilité comme quelque chose qu'un attaquant pourrait exploiter pour exécuter du code arbitraire sur les systèmes concernés. "Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été exploité", indique l'avis de la société, sans donner plus de détails.

La société a publié versions mises à jour d'iOS, iPadOS, macOS, iPadOS et tvOS avec des contrôles de validation supplémentaires pour remédier à la vulnérabilité.

CVE-2024-23222 est la première vulnérabilité Zero Day divulguée par Apple dans WebKit en 2024. L'année dernière, la société a divulgué un total de 11 bogues Zero Day dans la technologie, soit le plus grand nombre jamais enregistré en une seule année civile. Depuis 2021, Apple a divulgué un total de 22 bugs zero-day de WebKit, soulignant l'intérêt croissant pour le navigateur de la part des chercheurs et des attaquants.

En parallèle, la divulgation par Apple du nouveau WebKit zero-day fait suite à la divulgation par Google la semaine dernière d'un jour zéro dans Chrome. C'est au moins la troisième fois au cours des derniers mois que les deux fournisseurs divulguent des zéros jours dans leurs navigateurs respectifs à proximité l'un de l'autre. La tendance suggère que les chercheurs et les attaquants recherchent presque également les failles des deux technologies, probablement parce que Chrome et Safari sont également les navigateurs les plus utilisés.

La menace d'espionnage

Apple n'a pas divulgué la nature de l'activité d'exploitation ciblant le bug zero-day récemment révélé. Mais les chercheurs ont rapporté avoir vu des fournisseurs de logiciels espions commerciaux abuser de certains des logiciels espions les plus récents de l'entreprise pour supprimer les logiciels de surveillance sur les iPhones des sujets cibles.

En septembre 2023, le Citizen Lab de l'Université de Toronto a mis en garde Apple contre deux vulnérabilités zero-day sans clic dans iOS qu'un fournisseur de logiciels de surveillance avait exploité pour déposer le logiciel espion Predator sur un iPhone appartenant à un employé d'une organisation basée à Washington, DC. Le même mois, les chercheurs du Citizen Lab ont également signalé une autre chaîne d’exploits zero-day – qui comprenait un bug Safari – qu’ils avaient découvert, ciblant les appareils iOS.

Google a récemment signalé des problèmes similaires dans Chrome, presque en tandem avec Apple, à quelques reprises. En septembre 2023, par exemple, à peu près au même moment où Apple révélait ses bogues zero-day, des chercheurs du groupe d'analyse des menaces de Google ont identifié une société de logiciels commerciaux appelée Intellexa comme développant une chaîne d'exploitation, qui comprenait un bug zero-day pour Chrome (CVE-2023-4762) – pour installer Predator sur les appareils Android. Quelques jours plus tôt, Google avait divulgué un autre jour zéro dans Chrome (CVE-2023-4863) dans la même bibliothèque de traitement d'images dans laquelle Apple avait divulgué un jour zéro.

Lionel Litty, architecte en chef de la sécurité de la société de sécurité des navigateurs Menlo Security, affirme qu'il est difficile de dire s'il existe un lien entre Google et le premier navigateur Zero Day d'Apple pour 2024, étant donné le nombre limité d'informations actuellement disponibles. "Le Chrome CVE était dans le moteur JavaScript (v8) et Safari utilise un moteur JavaScript différent", explique Litty. "Cependant, il n'est pas rare que différentes implémentations présentent des défauts très similaires."

Une fois que les attaquants ont trouvé un point faible dans un navigateur, ils sont également connus pour sonder d'autres navigateurs dans la même zone, explique Litty. "Ainsi, même s'il est peu probable qu'il s'agisse exactement de la même vulnérabilité, il ne serait pas surprenant qu'il existe un ADN commun entre les deux exploits naturels."

Explosion d’attaques de phishing basées sur un navigateur zéro heure

Les fournisseurs de services de surveillance ne sont de loin pas les seuls à tenter d’exploiter les vulnérabilités des navigateurs et des navigateurs en général. Selon un rapport de Menlo Security qui sera bientôt publié, il y a eu une augmentation de 198 % des attaques de phishing basées sur un navigateur au cours du second semestre 2023 par rapport aux six premiers mois de l'année. Les attaques évasives – une catégorie que Menlo décrit comme utilisant des techniques pour échapper aux contrôles de sécurité traditionnels – ont augmenté encore plus, de 206 %, et ont représenté 30 % de toutes les attaques basées sur un navigateur au cours du second semestre 2023.

Sur une période de 30 jours, Menlo affirme avoir observé plus de 11,000 XNUMX attaques de phishing basées sur un navigateur dites « zéro heure » échappant à Secure Web Gateway et à d'autres outils de détection des menaces sur les points finaux.

« Le navigateur est l'application métier dont les entreprises ne peuvent pas se passer, mais il a pris du retard du point de vue de la sécurité et de la gérabilité », a déclaré Menlo dans le prochain rapport.