蘋果用戶應該立即更新他們的所有設備——iPhone、iPad、Mac和AppleWatch——以安裝一個緊急補丁,防止以色列公司NSO利用iMessage中的漏洞感染設備。
蘋果公司周一推出的安全更新包括適用于iPhone和iPad的iOS14.8,以及適用于Apple Watch和macOS的緊急更新。這些補丁將將修復至少一個它所說的“可能已被積極利用”的漏洞。
Citizen Lab上個月首次發(fā)現(xiàn)了前所未見的零點擊漏洞,并檢測到該漏洞的目標是iMessage。據(jù)網(wǎng)絡安全監(jiān)管機構(gòu)稱,該漏洞被用于利用通過NSO公司開發(fā)的Pegasus間諜軟件非法監(jiān)視巴林活動家。
Citizen Lab將這種特殊的漏洞稱為ForcedEntry,因為它能夠繞過Apple的BlastDoor保護。
Citizen Lab在8月表示,他們已經(jīng)確定了9名巴林活動家,他們的iPhone在2020年6月至2021年2月期間受到了Pegasus間諜軟件的影響。一些活動家的手機遭受了零點擊iMessage攻擊,除了ForcedEntry之外,還包括2020KISMET漏洞利用。
這些活動家包括Waad的三名成員、巴林人權(quán)中心的三名成員、兩名流亡的巴林持不同政見者和AlWefaq(巴林什葉派政治社團)的一名成員。
ForcedEntry漏洞特別引人注目,因為它成功部署到最新的iOS版本14.4和14.6,繞過Apple的BlastDoor保護,在巴林激進分子的iPhone上安裝了間諜軟件。
Citizen Lab于2021年2月首次觀察到NSO Group部署了ForcedEntry。Apple剛剛推出了BlastDoor,這是iOS14中的一項結(jié)構(gòu)改進,旨在阻止基于消息的零點擊漏洞利用,例如前一個月的NSO Group相關(guān)攻擊。
BlastDoor應該通過充當Google Project Zero的Samuel Groß所說的“嚴密沙盒”服務來防止這種類型的Pegasus攻擊,該服務負責幾乎所有iMessages中不受信任數(shù)據(jù)的解析。
在周一的一篇帖子中,Citizen Lab的研究人員表示,2021年3月,他們檢查了一位要求匿名的沙特活動家的電話,并確定該電話已感染了NSO集團的Pegasus間諜軟件。上周二,也就是9月7日,Citizen Lab轉(zhuǎn)發(fā)了另一部感染Pegasus的手機上發(fā)生的兩種類型崩潰的artifact,懷疑這兩種感染都顯示了ForcedEntry漏洞利用鏈的一部分。
Citizen Lab于9月7日星期二將這些artifact轉(zhuǎn)發(fā)給蘋果公司。9月13日,星期一,蘋果公司確認這些文件包含針對iOS和MacOS的0day漏洞利用。Apple已指定ForcedEntry漏洞正式名稱為CVE-2021-30860:一個尚未評級的漏洞,Apple將該漏洞描述為“處理惡意制作的PDF可能導致任意代碼執(zhí)行”。
嗅探NSO公司的蹤跡
Citizen Lab列出了幾個不同的因素,這些因素使研究人員高度相信,該漏洞可以與以色列秘密間諜軟件制造商NSO Group相關(guān)聯(lián),其中包括一個名為CascadeFail的forensic artifact。
根據(jù)Citizen Lab的說法,CascadeFail是一個bug,“證據(jù)未完全從手機的DataUsage.sqlite文件中刪除”。在CascadeFail中,“文件的ZPROCESS表中的條目被刪除,但ZLIVEUSAGE表中引用已刪除ZPROCESS條目的條目不會被刪除。”
他們說,這有NSO Group特有的標志:“我們只見過這種與NSO Group的Pegasus間諜軟件相關(guān)的不完整刪除,我們相信該漏洞的獨特性足以指向NSO。”
另一個明顯的跡象:ForcedEntry漏洞安裝的多個進程名稱,包括“setframed”。根據(jù)Citizen Lab的說法,該進程名稱在2020年7月用NSO集團的Pegasus間諜軟件攻擊半島電視臺記者時被使用:監(jiān)管機構(gòu)沒有更多透露當時的細節(jié)。
零點擊遠程漏洞利用,例如Pegasus間諜軟件在受害者不知情或根本不需要點擊任何東西的情況下隱形感染Apple設備的新穎方法,被用來感染一名受害者長達六個月之久。對于想要秘密監(jiān)視目標設備而不被發(fā)現(xiàn)的政府、雇傭軍和罪犯來說,這簡直太完美了。
Pegasus是一個強大的間諜軟件:它可以打開目標的攝像頭和麥克風,以便記錄消息、文本、電子郵件和電話,即使它們是通過Signal等加密消息應用程序發(fā)送的。
關(guān)于Pegasus的陳詞濫調(diào)
NSO長期以來一直堅稱,它只將其間諜軟件出售給少數(shù)經(jīng)過全面審查侵犯人權(quán)行為的國家內(nèi)的情報機構(gòu)。該公司試圖質(zhì)疑Citizen Lab的方法和動機,一再保持這種說法。
但是,正如端點到云安全公司Lookout的安全解決方案高級經(jīng)理HankSchless所指出的那樣,這種說法現(xiàn)在已經(jīng)相當老套了。“最近曝光的5萬個與NSO集團客戶目標相關(guān)的電話號碼,使得所有人都看透了實際的情況。”
“自從Lookout和公民實驗室于2016年首次發(fā)現(xiàn)Pegasus以來,它一直在不斷發(fā)展,并具有了新的功能。”“它現(xiàn)在可以作為零點擊漏洞進行部署,這意味著目標用戶甚至不必點擊惡意鏈接即可安裝監(jiān)控軟件。”
Schless繼續(xù)說,雖然惡意軟件已經(jīng)調(diào)整了它的傳播方法,但基本的漏洞利用鏈保持不變。“Pegasus是通過針對目標進行社會工程的惡意鏈接傳播的,漏洞被利用,設備遭到破壞,然后惡意軟件會返回給命令和控制(C2)服務器,讓攻擊者可以自由控制設備。許多應用程序會自動創(chuàng)建鏈接預覽或緩存,以改善用戶體驗。Pegasus利用此功能以靜默感染設備。”
Schless說,這是一個例子,說明個人和企業(yè)組織了解其移動設備存在的風險是多么重要,Pegasus只是一個“極端但易于理解的例子”。
“有無數(shù)的惡意軟件可以輕松利用已知的設備和軟件漏洞來訪問您最敏感的數(shù)據(jù)。”“從企業(yè)的角度來看,將移動設備排除在更大的安全策略之外可能造成保護整個基礎(chǔ)設施免受惡意行為者攻擊的能力上的重大差距。一旦攻擊者控制了移動設備,甚至泄露了用戶的憑據(jù),他們就可以自由訪問您的整個基礎(chǔ)設施。一旦他們進入您的云或本地應用程序,他們就可以橫向移動并識別敏感資產(chǎn)從而進行加密以進行勒索軟件攻擊或是泄露給出高價的購買者。”
統(tǒng)一訪問編排提供商Pathlock的總裁凱文·鄧恩(KevinDunne)指出,Pegasus感染表明企業(yè)需要超越將服務器和工作站作為網(wǎng)絡攻擊和間諜活動的主要目標的想法。“移動設備現(xiàn)在被廣泛使用,并且包含需要保護的敏感信息。”
鄧恩說,為了保護自己免受間諜軟件的侵害,企業(yè)應該審視他們的移動設備安全策略,尤其是當威脅以遠比安全團隊培訓用戶所防御的可疑SMS消息或釣魚鏈接更陰險的形式出現(xiàn)時。
“間諜軟件攻擊者現(xiàn)在設計了零點擊攻擊,能夠通過使用第三方應用程序甚至內(nèi)置應用程序中的漏洞來完全訪問手機的數(shù)據(jù)和麥克風/攝像頭。”“組織需要確保他們能夠控制用戶下載到手機上的應用程序,并確保這些應用程序是最新的,以便修補任何漏洞。”
本文翻譯自:https://threatpost.com/apple-emergency-fix-nso-zero-click-zero-day/169416/