Apple, casus yazılımları gizlice dağıtmak için kullanılan sıfır gün güvenlik açıklarını düzeltir (CVE-2023-32435)


Apple, vahşi ortamda kullanılan üç sıfır gün güvenlik açığı (CVE-2023-32434, CVE-2023-32435, CVE-2023-32439) için yamalar yayınladı.

CVE-2023-32435

İlk ikisi Kaspersky araştırmacıları Georgy Kucherin, Leonid Bezvershenko ve Boris Larin tarafından TriangleDB adını verdikleri iOS casus yazılım implantını keşfetmelerinin ardından, üçüncüsü ise anonim bir araştırmacı tarafından bildirildi.

Güvenlik açıkları (CVE-2023-32434, CVE-2023-32435, CVE-2023-32439)

CVE-2023-32439, WebKit tarayıcı motorunda, güvenlik açığı bulunan cihazın kötü amaçlarla oluşturulmuş web içeriğini işlemesi tarafından tetiklenebilen ve rastgele kod yürütülmesine yol açabilen bir tür karışıklığı sorunudur. Şirket, “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında” dedi, ancak saldırı hakkında ek ayrıntı vermedi.

CVE-2023-32434, bir uygulamanın çekirdek ayrıcalıklarıyla rasgele kod yürütmesine izin veren, çekirdeği etkileyen bir tamsayı taşması güvenlik açığıdır. CVE-2023-32435, WebKit’te kod yürütülmesine yol açabilecek bir bellek bozulması sorunudur.

Apple, Kaspersky’nin bulgularına atıfta bulunarak, bu son iki güvenlik açığının “iOS 15.7’den önce yayınlanan iOS sürümlerinde aktif olarak kullanılmış olabileceğini” söylüyor.

Casus yazılım implantı

Haziran ayının başında Kaspersky güvenlik araştırmacıları, bazı kurumsal iOS cihazlarının önceden bilinmeyen casus yazılımlarla dolu olduğunu ortaya çıkardı.

Bulaşma, iMessage aracılığıyla gerçekleşti – kurbanlar, kod yürütülmesine izin veren bir güvenlik açığını tetikleyen bir açıktan yararlanma içeren bir ek içeren bir mesaj alır ve bu açıktan yararlanma, bir C2 sunucusundan ek kötü amaçlı yazılım indirir. Son olarak, ilk mesaj ve ekteki istismar silinir.

Enfeksiyonun gerçekleşmesi için kurbanın iMessage’ı açması gerekmez.

“Keşfettiğimiz en eski enfeksiyon izleri 2019’da yaşandı. Haziran 2023’te yazı yazıldığı an itibarıyla saldırı devam ediyor ve başarılı bir şekilde hedeflenen cihazların en son sürümü iOS 15.7’dir” diye eklediler.

Çarşamba günü, casus yazılım hakkında daha fazla ayrıntı paylaştılar.

İmplant […] Saldırganlar, bir çekirdek güvenlik açığından yararlanarak hedef iOS aygıtında kök ayrıcalıkları elde ettikten sonra devreye alınır. [i.e., CVE-2023-32435]. Bellekte dağıtılır, yani cihaz yeniden başlatıldığında implantın tüm izleri kaybolur. Bu nedenle, kurban cihazını yeniden başlatırsa, saldırganların kötü amaçlı bir ek içeren bir iMessage göndererek cihazı yeniden bulaştırması ve böylece tüm istismar zincirini yeniden başlatması gerekir. Yeniden başlatma olmaması durumunda, saldırganlar tarafından bu süre uzatılmadığı sürece, implant 30 gün sonra kendini kaldırır.”

İmplant, dosyaları manipüle etme ve dışarı sızdırma, işlemleri sonlandırma, virüslü cihazın anahtarlık girişlerini alma, cihazın konumunu tam olarak belirleme ve ek modülleri çalıştırma yeteneğine sahiptir.

“TriangleDB’yi analiz ederken, CRConfig sınıfının (implantın yapılandırmasını depolamak için kullanılır) populateWithFieldsMacOSOnly adlı bir yöntemi olduğunu bulduk. Bu yöntem, iOS implantının hiçbir yerinde çağrılmaz; ancak varlığı, macOS cihazlarının da benzer bir implantla hedeflenebileceği anlamına geliyor” dediler.

Cihazlarınızı güncelleyin!

En son Apple güncellemeleri şunları sağlar:

Kullanıcılar, cihazlarını mümkün olan en kısa sürede yükseltmelidir.

TriangleDB’nin geniş çapta dağıtılmış olması olası değildir, ancak hedef alınmış olabileceklerden biri olduğunuzdan şüpheleniyorsanız, mobil cihazınızın yedeğini tehlike kanıtı açısından test etmek için Kaspersky tarafından sağlanan üçgen_kontrol aracını kullanabilirsiniz.



Source link