14 sep. 2021

Vulnerabilidades Zero-Days en Apple utilizados para espionaje de NSO Group

Apple ha lanzado iOS 14.8, iPadOS 14.8, watchOS 7.6.2, macOS Big Sur 11.6 y Safari 14.1.2 para corregir dos vulnerabilidades explotadas activamente y utilizadas para realizar espionaje:

  • CVE-2021-30858 (WebKit): un problema de use-after-free podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. La falla se ha solucionado mejorando la gestión de la memoria.
  • CVE-2021-30860 (CoreGraphics): una vulnerabilidad de desbordamiento de enteros que podría provocar la ejecución de código arbitrario al procesar un documento PDF creado con fines malintencionados. El error se corrigió con una validación de entrada mejorada.

Las actualizaciones llegan semanas después de que investigadores del Citizen Lab de la Universidad de Toronto revelaran detalles de un exploit de día cero llamado "FORCEDENTRY" (también conocido como "Megalodon") que fue creado por el proveedor de vigilancia israelí NSO Group y supuestamente utilizado por el gobierno de Bahrein para instalar el software espía Pegasus en los teléfonos de nueve activistas en el país desde febrero de este año. FORCEDENTRY ha estado en uso desde al menos febrero de 2021.

Además de activarse simplemente enviando un mensaje malicioso al objetivo, FORCEDENTRY también se destaca por el hecho de que socava expresamente una nueva función de seguridad de software llamada BlastDoor que Apple incorporó a iOS 14 para evitar intrusiones a través de iMessage. 

"Nuestro último descubrimiento de otro Zero-Day de Apple empleado como parte del arsenal de NSO Group ilustra aún más que empresas como NSO Group están facilitando el 'despotismo como servicio' para las agencias de seguridad gubernamentales que no rinden cuentas", dijeron los investigadores de Citizen Lab.

"Las aplicaciones de chat ubicuas se han convertido en un objetivo importante para los actores de amenazas más sofisticados, incluidas las operaciones de espionaje de los estados nacionales y las empresas mercenarias de software espía que las atienden. Tal como están diseñadas actualmente, muchas aplicaciones de chat se han convertido en un objetivo fácil irresistible", agregaron.

Citizen Lab dijo que encontró el malware nunca antes visto en el teléfono de un activista saudí anónimo, y que la cadena de exploits se activa cuando las víctimas reciben un mensaje de texto que contiene una imagen GIF maliciosa que, en realidad, son Adobe PSD (archivos de documentos de Photoshop ) y archivos PDF diseñados para bloquear el componente iMessage responsable de renderizar imágenes automáticamente e implementar la herramienta de vigilancia.

CVE-2021-30858, por otro lado, es el último de una serie de fallas de día cero de WebKit que Apple ha rectificado solo este año. Con este conjunto de actualizaciones más recientes, la compañía ha parcheado un total de 15 vulnerabilidades de día cero desde principios de 2021.

Se recomienda a los usuarios de Apple iPhone, iPad, Mac y Apple Watch que actualicen inmediatamente su software para mitigar cualquier amenaza potencial que surja de la explotación activa de las fallas.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!