На прошлой неделе группа анализа угроз Google (TAG) в сотрудничестве с Гражданская лаборатория, обнаружил цепочку эксплойтов нулевого дня для iPhone. Эта цепочка эксплойтов, разработанная коммерческим поставщиком систем видеонаблюдения Intellexa, используется для тайной установки шпионского ПО Predator на устройство.

В ответ вчера Apple исправила ошибки в iOS 16.7 И iOS 17.0.1 например CVE-2023-41991, CVE-2023-41992, CVE-2023-41993. Это быстрое исправление от Apple помогает лучше защитить пользователей, и мы призываем всех пользователей iOS установить его как можно скорее.

Использование подхода «человек посередине» (MITM)

Цепочка эксплойтов Intellexa была реализована посредством атаки «человек посередине» (MITM), при которой злоумышленник стоит между целью и веб-сайтом, которого он пытается достичь. Если цель получает доступ к веб-сайту с использованием «http», злоумышленник может перехватить трафик и отправить ложные данные обратно цели, чтобы заставить ее получить доступ к другому веб-сайту. Посещение веб-сайта с использованием https означает, что трафик зашифрован, и можно легко проверить, что полученные данные поступают с предполагаемого веб-сайта с использованием его сертификата. Это не тот случай, когда вы используете «http».

В случае с этой кампанией, если цель перешла на какой-либо http-сайт, злоумышленники вводили трафик, чтобы незаметно перенаправить их на сайт Intellexa, c.betly.[.]Мне. Если пользователь был ожидаемым целевым пользователем, сайт затем перенаправлял цель на сервер эксплойта, sec-flare.[.]ком. Хотя основное внимание уделяется уязвимостям «0-click» (ошибкам, которые не требуют взаимодействия с пользователем), эта доставка MITM также не требовала от пользователя открытия документа, нажатия на конкретную ссылку или ответа на телефонные звонки.

рабочий канал iOS

Как только злоумышленник перенаправил цель на свой сервер эксплойтов, цепочка эксплойтов начала выполняться. Для iOS эта цепочка имела три уязвимости:

  • CVE-2023-41993: удаленное начальное выполнение кода (RCE) в Safari.
  • CVE-2023-41991: обход CAP
  • CVE-2023-41992: локальное повышение привилегий (LPE) в ядре XNU.
ЧИТАТЬ  Активизируйте следующие действия с помощью собственных данных

Затем сеть запустила небольшой бинарный файл, чтобы решить, устанавливать или нет полный имплант Predator. Однако TAG не смог захватить весь имплант Хищника.

Мы планируем выпустить углубленный технический анализ этих эксплойтов, в соответствии с Политика раскрытия информации об уязвимостях Google.

Рабочий канал Android

У злоумышленника также была цепочка эксплойтов для установки Predator на устройства Android в Египте. TAG заметил, что эти эксплойты распространяются двумя разными способами: путем внедрения MITM и через одноразовые ссылки, отправленные непосредственно к цели. Нам удалось получить только первоначальную уязвимость удаленного выполнения кода механизма рендеринга для Chrome, которая использовала CVE-2023-4762.

Об этой ошибке ранее отдельно сообщалось в программу Chrome Vulnerability Rewards исследователем безопасности, и она была исправлена ​​5 сентября. Мы полагаем, что Intellexa ранее также использовала эту уязвимость как 0-day.

Работа Chrome по защите от MITM

В течение многих лет Chrome работал над универсальным внедрением HTTPS в Интернете. Кроме того В Chrome есть режим «HTTPS-First». это может снизить вероятность доставки эксплойтов через внедрение сети MITM. «HTTPS-First Mode» попытается загрузить все страницы через HTTPS и отобразит большое предупреждение, прежде чем вернуться к отправке HTTP-запроса. Этот параметр в настоящее время включен по умолчанию для зарегистрированных пользователей. Программа дополнительной защиты которые также подключены к Chrome. Мы призываем всех пользователей чтобы включить «HTTPS-первый режим» для лучшей защиты от атак MITM.

Заключение

Эта кампания является еще одним примером злоупотреблений, вызванных увеличением количества коммерческих поставщиков услуг наблюдения и серьезными рисками, которые они представляют для безопасности пользователей в Интернете. TAG продолжит принимать меры против индустрии коммерческого шпионского ПО и публиковать исследования, а также работать в государственном и частном секторах над продвижением этой работы.

ЧИТАТЬ  Значение I/O: как ежегодное мероприятие Google получает свое название

Мы хотели бы выразить признательность и поблагодарить The Citizen Lab за сотрудничество и партнерство в обнаружении и анализе этих эксплойтов, а также Apple за своевременное внедрение исправления для безопасности пользователей в Интернете.

Source