Dagen na Google onthult Apple benutte Zero-Day in Browser Engine

Apple heeft een actief uitgebuit zero-day-bug in zijn WebKit-browserengine voor Safari gepatcht.

De bug, toegewezen als CVE-2024-23222, komt voort uit een type verwarringsfout, wat in feite is wat er gebeurt als een applicatie er ten onrechte van uitgaat dat de invoer die het ontvangt van een bepaald type is, zonder dat dit daadwerkelijk het geval is (of onjuist valideert).

Actief uitgebuit

Apple beschreef de kwetsbaarheid gisteren als iets dat een aanvaller zou kunnen misbruiken om willekeurige code uit te voeren op getroffen systemen. "Apple is op de hoogte van een rapport dat mogelijk misbruik is gemaakt van dit probleem", aldus het advies van het bedrijf, zonder verdere details te geven.

Het bedrijf heeft vrijgegeven bijgewerkte versies van iOS, iPadOS, macOS, iPadOS en tvOS met aanvullende validatiecontroles om de kwetsbaarheid aan te pakken.

CVE-2024-23222 is de eerste zero-day-kwetsbaarheid die Apple in 2024 in WebKit heeft onthuld. Vorig jaar onthulde het bedrijf in totaal elf zero-day-bugs in de technologie – het hoogste aantal ooit in één kalenderjaar. Sinds 11 heeft Apple in totaal 2021 WebKit zero-day bugs onthuld, wat de groeiende belangstelling voor de browser van zowel onderzoekers als aanvallers onderstreept.

Tegelijkertijd volgt de onthulling door Apple van de nieuwe WebKit zero-day op de onthulling door Google vorige week van a zero-day in Chrome. Het is in ieder geval de derde keer in de afgelopen maanden dat beide leveranciers zero-days in hun respectievelijke browsers dicht bij elkaar hebben bekendgemaakt. De trend wijst erop dat onderzoekers en aanvallers vrijwel in gelijke mate naar fouten in beide technologieën zoeken, waarschijnlijk omdat Chrome en Safari ook de meest gebruikte browsers zijn.

De spionagedreiging

Apple heeft de aard van de exploitactiviteit die gericht is op de nieuw onthulde zero-day bug niet bekendgemaakt. Maar onderzoekers hebben gemeld dat commerciële spywareleveranciers misbruik hebben gemaakt van enkele van de recentere versies van het bedrijf, om bewakingssoftware op iPhones van doelgroepen te laten vallen.

In september 2023 waarschuwde het Citizen Lab van de Universiteit van Toronto Apple hiervoor twee no-click zero-day-kwetsbaarheden in iOS dat een leverancier van bewakingssoftware had uitgebuit om de Predator-spywaretool op een iPhone van een medewerker van een in Washington DC gevestigde organisatie te plaatsen. Diezelfde maand rapporteerden Citizen Lab-onderzoekers ook een afzonderlijke zero-day exploit-keten – die een Safari-bug bevatte – die ze hadden ontdekt en die zich richtten op iOS-apparaten.

Google heeft de laatste tijd, bijna samen met Apple, soortgelijke problemen in Chrome gesignaleerd. In september 2023 bijvoorbeeld, bijna op hetzelfde moment dat Apple zijn zero-day-bugs openbaarde, identificeerden onderzoekers van de dreigingsanalysegroep van Google een commercieel softwarebedrijf genaamd Intellexa dat een exploit-keten ontwikkelde – waaronder een Chrome zero-day (CVE-2023-4762) — om Predator op Android-apparaten te installeren. Slechts een paar dagen eerder had Google nog een zero-day in Chrome bekendgemaakt (CVE-2023-4863) in dezelfde beeldverwerkingsbibliotheek waarin Apple een zero-day had onthuld.

Lionel Litty, hoofdbeveiligingsarchitect bij browserbeveiligingsbedrijf Menlo Security, zegt dat het moeilijk te zeggen is of er enig verband bestaat tussen Google en Apple's eerste browser zero-days voor 2024, gezien de beperkte informatie die momenteel beschikbaar is. “De Chrome CVE zat in de JavaScript-engine (v8) en Safari gebruikt een andere JavaScript-engine”, zegt Litty. “Het is echter niet ongebruikelijk dat verschillende implementaties zeer vergelijkbare tekortkomingen vertonen.”

Zodra aanvallers een zwakke plek in één browser hebben gevonden, is het bekend dat ze ook andere browsers in hetzelfde gebied onderzoeken, zegt Litty. “Hoewel het dus onwaarschijnlijk is dat dit exact dezelfde kwetsbaarheid is, zou het niet zo verwonderlijk zijn als er een gedeeld DNA zou zijn tussen de twee in-the-wild exploits.”

Explosie van zero-hour browsergebaseerde phishing-aanvallen

Bewakingsleveranciers zijn verreweg niet de enigen die misbruik proberen te maken van browserkwetsbaarheden en van browsers in het algemeen. Volgens een binnenkort te verschijnen rapport van Menlo Security was er in de tweede helft van 198 een toename van 2023% in browsergebaseerde phishing-aanvallen vergeleken met de eerste zes maanden van het jaar. Ontwijkende aanvallen – een categorie die volgens Menlo technieken gebruikt om traditionele beveiligingscontroles te omzeilen – zijn zelfs nog verder gestegen, met 206%, en waren verantwoordelijk voor 30% van alle browsergebaseerde aanvallen in de tweede helft van 2023.

Over een periode van 30 dagen zegt Menlo te hebben waargenomen dat meer dan 11,000 zogenaamde ‘zero-hour’ browsergebaseerde phishing-aanvallen Secure Web Gateway en andere tools voor het detecteren van eindpuntbedreigingen omzeilen.

"De browser is de bedrijfsapplicatie waar bedrijven niet zonder kunnen, maar is achterop geraakt vanuit het perspectief van beveiliging en beheerbaarheid", aldus Menlo in het komende rapport.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine