Apple, Google ve Citizen Lab’ın Intellexa’nın Predator casus yazılımında kullanılan bir yararlanma zincirini keşfetmesinin ardından döngü dışı bir yama yayınladı.
İstismar edilen üç hata CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41993’tür.
Apple, danışma belgesinde “Apple, bu sorunun iOS 16.7’den önceki iOS sürümlerine karşı aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır” dedi.
Google’ın Tehdit Analiz Grubu, istismar zincirinin, ortadaki adamın (MITM) HTTP (HTTPS değil) trafiğini saldırgan tarafından kontrol edilen bir web sitesine yönlendirmesine olanak tanıyan bir Safari hatası olan CVE-2023-41993 ile başladığını açıkladı.
Saldırgan daha sonra kurbanın iPhone veya iPad’inde uzaktan kod yürütülmesini zorlayabilir.
Bir işaretçi kimlik doğrulama kodu (PAC) güvenlik açığı olan CVE-2023-41991, zincirdeki ikinci istismardı. Google, PAC hatasının nasıl istismar edildiğine ilişkin ayrıntılı bilgi vermedi.
Son olarak saldırganlar, çekirdekteki ayrıcalıklarını artırmak için CVE-2023-41992’den yararlandı.
Google, hedef cihazın güvenliği ihlal edildiğinde, “tam Predator implantının” kurulup kurulmayacağına karar vermek için küçük bir veri yükünün çalıştırıldığını yazdı.
Google, gelecekte bir noktada istismar zincirinin tam bir teknik analizini vaat ediyor.
Apple, güvenlik açıklarının keşfedilmesini Google Tehdit Analiz Grubu’ndan Maddie Stone ve Toronto Üniversitesi Citizen Lab’dan Bill Marczak’a bağlıyor.
Citizen Lab Cuma günü, Predator’ın Ağustos ayında ülkenin 2024 başkanlık seçimlerinde aday olma niyetini açıklayan Mısırlı milletvekili Ahmed Eltantawy’ye karşı konuşlandırıldığını belirten bir rapor yayınladı.
Raporda, MITM’in “Vodafone Mısır ağının sınırına kurulan bir cihaz” olarak uygulandığı belirtildi.
Eltantawy, telefonunun saldırıya uğradığından şüphelenmeye başladığında Vatandaş Laboratuvarı olaya müdahale etti ve üniversite grubundan yardım istedi.
Laboratuvar ayrıca sıfır gün zinciri tarafından kullanılan iki web sitesini de belirledi: sec-flare[dot] saldırı kodunu barındıran com; ve doğrulama adresi[dot]Saldırı sırasında kötü amaçlı yazılım benimle iletişime geçti.
Google “Predator implantının tamamını yakalayamamış” olsa da, Citizen Lab’in bunu Predator’ın “yükünü elde ettiğimiz 2021 Predator örneğiyle karşılaştırmaya dayalı olarak yüksek güven” olarak nitelendirmesine yetecek kadar kod analiz edildi.
Google’ın gönderisi, Android’de bu ayın başlarında yamalanan CVE-2023-4762’den yararlanan bir sıfır gün gözlemlediğini de ekledi.