Un error crítico para iPhone y iPad al acecho durante 8 años puede estar bajo ataque activo

Un error crítico para iPhone y iPad al acecho durante 8 años puede estar bajo ataque activo

ZecOps

Un error crítico que se ha estado ocultando en iPhones y iPads durante ocho años parece ser atacado activamente por piratas informáticos sofisticados por piratear dispositivos objetivo de alto perfil, informó una empresa de seguridad.

El exploit se desencadena enviando correos electrónicos atrapados que no requieren ninguna interacción y, en otros casos, solo requieren que un usuario abra el mensaje, dijeron los investigadores de ZecOps en una publicación. Los correos electrónicos maliciosos permiten a los atacantes ejecutar código en el contexto de aplicaciones de correo electrónico predefinidas, lo que le permite leer, editar o eliminar mensajes. Los investigadores sospechan que los atacantes están combinando el día cero con un exploit separado que ofrece un control total del dispositivo. La vulnerabilidad se remonta a iOS 6 lanzado en 2012. Los atacantes han explotado el error desde 2018 y tal vez antes.

Gran alcance

«Con datos muy limitados, hemos podido ver que al menos seis organizaciones se han visto afectadas por esta vulnerabilidad, y el alcance total del abuso de esta vulnerabilidad es enorme», escribieron los investigadores de ZecOps. «Confiamos en que se debe proporcionar un parche para estos problemas con disparadores públicos pronto».

Los objetivos de las seis organizaciones incluyen:

  • Individuos de una organización Fortune 500 en Norteamérica
  • Un ejecutivo de una aerolínea japonesa
  • Un VIP de Alemania
  • Proveedores de servicios de seguridad gestionados en Arabia Saudita e Israel
  • Un periodista en europa
  • Sospechoso: ejecutivo de una empresa suiza

Zerodays, o vulnerabilidades conocidas por los atacantes pero no por el fabricante o el público en general, rara vez se explotan en la naturaleza contra los usuarios de iPhone y iPad. Algunos de los únicos incidentes conocidos de un ataque de 2016 que instaló software espía en el teléfono de un disidente en los Emiratos Árabes Unidos, una explotación de WhatsApp en mayo del año pasado que se transmitió con una simple llamada telefónica y ataques revelados por Google en agosto pasado.

Apple ha solucionado la falla en la versión beta para iOS 13.4.5. En el momento en que se publicó esta publicación, aún no se había publicado una corrección en la versión general.

Los correos electrónicos maliciosos que desencadenan el defecto funcionan al consumir la memoria del dispositivo y, por lo tanto, aprovechar un desbordamiento del montón, que es un tipo de desbordamiento del búfer que aprovecha un defecto de asignación de memoria reservado para operaciones dinámicas. Al llenar el montón con datos basura, el exploit puede inyectar código malicioso que luego se ejecuta. El código activa cadenas que incluyen 4141 … 41, que los desarrolladores de exploits utilizan habitualmente. Los investigadores creen que el exploit, por lo tanto, elimina el correo.

Una protección conocida como aleatorizar el diseño del espacio de direcciones evita que los atacantes conozcan la ubicación de la memoria de este código y luego lo realicen para tomar el control del dispositivo. Como resultado, el dispositivo o la aplicación simplemente se bloquea. Para superar esta medida de seguridad, los atacantes deben explotar un error separado que revela la ubicación oculta de la memoria.

Poca o ninguna señal de ataque

Los correos electrónicos maliciosos no necesitan ser prohibitivamente grandes. Los correos electrónicos de tamaño normal pueden consumir suficiente RAM utilizando documentos de texto enriquecido, contenido de varias partes u otros métodos. Además de una desaceleración temporal del dispositivo, es probable que los objetivos que ejecutan iOS 13 no noten signos de ser atacados. En el caso de que el exploit falle en un dispositivo con iOS 12, mientras tanto, el dispositivo mostrará un mensaje que dice «Este mensaje no tiene contenido».

ZecOps dijo que los ataques están estrictamente dirigidos, pero solo proporcionan pistas limitadas sobre los piratas informáticos que los ejecutan o los objetivos que estaban en el lado receptor.

«Creemos que estos ataques están relacionados con al menos un operador de amenazas de estado-nación o estado-nación que compró el exploit a un investigador externo en un grado de Prueba de Concepto (POC) y lo usó» tal como está. «o con modificaciones menores (de ahí las cadenas 4141..41)», escribieron los investigadores de ZecOps. «Si bien ZecOps se abstiene de atribuir estos ataques a un actor de amenaza específico, somos conscientes de que al menos una organización de» piratas informáticos de alquiler «vende exploits utilizando vulnerabilidades que utilizan direcciones de correo electrónico como su identificador principal».

La organización de terceros más visible que vende exploits para teléfonos inteligentes avanzados es el grupo NSO con sede en Israel, cuyos exploits iOS y Android se han utilizado contra activistas, usuarios de Facebook y objetivos no revelados en el último año. El grupo NSO ha sido objeto de fuertes críticas por la venta de sus productos en países con malos resultados en materia de derechos humanos. En los últimos meses, la compañía ha prometido servir solo a organizaciones con mejores antecedentes.

En general, es contrario a los estándares de seguridad de la comunidad revelar vulnerabilidades sin dar tiempo a los fabricantes para lanzar parches de seguridad. ZecOps dijo que publicó su investigación antes de una solución general porque el día cero por sí solo no es suficiente para infectar teléfonos, los errores ya se habían mencionado en la versión beta y la urgencia creada por las seis organizaciones que la compañía cree que son bajo ataque activo

Para evitar ataques hasta que Apple lance un parche de disponibilidad general, los usuarios pueden instalar la versión beta 13.4.5 o usar una aplicación alternativa de correo electrónico como Gmail o Outlook. Los representantes de Apple no respondieron a un correo electrónico en busca de comentarios para esta publicación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *