Uma empresa israelense de software de vigilância usou as três vulnerabilidades de dia zero da Apple divulgadas na semana passada para desenvolver uma cadeia de exploração para iPhones e uma vulnerabilidade de dia zero do Chrome para explorar Androids – tudo em um novo ataque a organizações egípcias.
De acordo com um relatório recente do Grupo de Análise de Ameaças (TAG) do Google, a empresa - que se autodenomina “Intellexa” – utilizou o acesso especial que obteve através da cadeia de exploração para instalar o seu spyware “Predator” exclusivo contra alvos não identificados no Egito.
O Predator foi desenvolvido pela Cytrox, um dos vários desenvolvedores de spyware que foram absorvidos pela Intellexa nos últimos anos, de acordo com a TAG. A empresa é uma ameaça conhecida: Intellexa já havia implantado o Predator contra cidadãos egípcios em 2021.
As infecções de iPhone da Intellexa no Egito começaram com ataques man-in-the-middle (MITM), interceptando usuários enquanto tentavam acessar sites http (solicitações https criptografadas eram imunes).
“O uso da injeção MITM dá ao invasor uma capacidade em que ele não precisa depender do usuário para realizar uma ação típica, como clicar em um link específico, abrir um documento, etc.”, observam os pesquisadores da TAG por e-mail. “Isso é semelhante às explorações de clique zero, mas sem a necessidade de encontrar uma vulnerabilidade em uma superfície de ataque de clique zero.”
Acrescentaram que “este é mais um exemplo dos danos causados pelos fornecedores de vigilância comercial e das ameaças que representam não apenas para os indivíduos, mas para a sociedade em geral”.
3 Zero-Days no iOS, 1 Cadeia de Ataque
Usando a estratégia MITM, os usuários foram redirecionados para um site controlado pelo invasor. A partir daí, se o usuário capturado fosse o alvo pretendido – cada ataque direcionado apenas a indivíduos específicos – ele seria redirecionado para um segundo domínio, onde a exploração seria acionada.
A cadeia de exploração do Intellexa envolveu três ataques de dia zero vulnerabilidades, que foram corrigidas a partir do iOS 17.0.1. Eles são rastreados como CVE-2023-41993 — um bug de execução remota de código (RCE) no Safari; CVE-2023-41991 — um problema de validação de certificado que permite ignorar o PAC; e CVE-2023-41992 — que permite o escalonamento de privilégios no kernel do dispositivo.
Após a conclusão de todas as três etapas, um pequeno binário determinaria se o malware Predator deveria ser descartado.
“A descoberta de uma cadeia completa de exploração de dia zero para iOS é normalmente uma novidade para aprender o que é atualmente o que há de mais moderno para os invasores. Cada vez que uma exploração de dia zero é detectada, é um caso de falha para os invasores – eles não querem que saibamos quais vulnerabilidades eles têm e como suas explorações funcionam”, observaram os pesquisadores no e-mail. “Como indústria de segurança e tecnologia, é nosso trabalho aprender o máximo que pudermos sobre essas explorações para tornar ainda mais difícil a criação de uma nova.”
Uma vulnerabilidade singular no Android
Além do iOS, a Intellexa direcionou telefones Android via MITM e links únicos enviados diretamente aos alvos.
Desta vez, apenas uma vulnerabilidade foi necessária: CVE-2023-4762, de alta gravidade, mas com classificação de 8.8 em 10 na escala de vulnerabilidade e gravidade do CVSS. A falha existe no Google Chrome e permite que invasores executem código arbitrário em uma máquina host por meio de uma página HTML especialmente criada. Relatado de forma independente por um pesquisador de segurança e corrigido em 5 de setembro, o Google TAG acredita que a Intellexa estava usando anteriormente a vulnerabilidade como dia zero.
A boa notícia é que as descobertas enviarão os possíveis invasores de volta à prancheta, de acordo com o Google TAG.
“Os invasores agora terão que substituir quatro de suas explorações de dia zero, o que significa que terão que comprar ou desenvolver novas explorações para manter a capacidade de instalar o Predator em iPhones”, enviaram os pesquisadores por e-mail. “Cada vez que suas explorações são detectadas, isso custa dinheiro, tempo e recursos aos invasores.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain
- :é
- :não
- :onde
- 1
- 10
- 17
- 2021
- 8
- a
- habilidade
- Sobre
- Acesso
- Segundo
- Açao Social
- adicionado
- Adição
- contra
- Destinado
- Todos os Produtos
- Permitindo
- an
- análise
- e
- andróide
- Outro
- Apple
- SOMOS
- AS
- At
- ataque
- Ataques
- tentada
- em caminho duplo
- BE
- sido
- começou
- ser
- acredita
- borda
- Bug
- mas a
- comprar
- by
- chamadas
- CAN
- capacidade
- casas
- apanhados
- causado
- certificado
- cadeia
- Chrome
- Cidadãos
- código
- comercial
- Empresa
- completar
- custos
- Crafted
- crio
- Atualmente
- corte
- implantado
- Determinar
- desenvolver
- desenvolvido
- desenvolvedores
- dispositivo
- diretamente
- documento
- domínio
- don
- desenho
- Cair
- cada
- borda
- Egito
- permite
- criptografada
- escalada
- etc.
- Éter (ETH)
- exemplo
- executar
- execução
- Explorar
- façanhas
- Falha
- Encontre
- descoberta
- descobertas
- Primeiro nome
- falha
- Escolha
- quatro
- da
- cheio
- ganhou
- Gambito
- dá
- Bom estado, com sinais de uso
- Grupo
- tinha
- mais duro
- prejudica
- Ter
- ter
- hospedeiro
- Como funciona o dobrador de carta de canal
- HTML
- http
- HTTPS
- if
- imune
- in
- independentemente
- indivíduos
- indústria
- Infecções
- instalar
- Pretendido
- envolvido
- iOS
- iPhone
- israelense
- emitem
- IT
- ESTÁ
- se
- Trabalho
- jpg
- Saber
- conhecido
- grande
- Sobrenome
- APRENDER
- aprendizagem
- como
- LINK
- Links
- máquina
- a manter
- fazer
- malwares
- significa
- MITM
- dinheiro
- muito
- necessário
- Novo
- notícias
- nist
- nota
- notado
- romance
- agora
- número
- of
- on
- ONE
- só
- abertura
- or
- organizações
- A Nossa
- Fora
- página
- telefones
- platão
- Inteligência de Dados Platão
- PlatãoData
- predador
- anteriormente
- privilégio
- RARO
- alcançar
- recentemente
- depender
- remoto
- substituir
- Informou
- pedidos
- investigador
- pesquisadores
- Recursos
- s
- Safári
- Escala
- Segundo
- segurança
- enviar
- enviei
- Sete
- semelhante
- singular
- local
- Locais
- pequeno
- Sociedade
- especial
- especialmente
- específico
- spyware
- Passos
- superfície
- vigilância
- T
- TAG
- Tire
- Target
- visadas
- tem como alvo
- tecnologia
- indústria de tecnologia
- que
- A
- deles
- Eles
- Lá.
- Este
- deles
- isto
- ameaça
- ameaças
- três
- Através da
- tempo
- para
- desencadear
- típico
- tipicamente
- guarda-chuva
- para
- SEM NOME
- us
- usar
- usava
- Utilizador
- usuários
- utilização
- validação
- fornecedor
- fornecedores
- via
- vulnerabilidades
- vulnerabilidade
- queremos
- foi
- we
- semana
- foram
- O Quê
- se
- qual
- Selvagem
- precisarão
- de
- sem
- Atividades:
- seria
- anos
- ainda
- zefirnet
- vulnerabilidades de dia zero