A Agência de Segurança Cibernética e de Infraestrutura (CISA) ordenou que as agências federais corrijam duas vulnerabilidades de segurança ativamente exploradas para hackear iPhones, Macs e iPads.
De acordo com uma diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2022, as agências do Poder Executivo Civil Federal (FCEB) são obrigadas a corrigir seus sistemas contra todos os bugs de segurança adicionados ao catálogo de Vulnerabilidades Conhecidas Exploradas da CISA.
Agora, as agências FCEB devem proteger os dispositivos iOS, iPadOS e macOS até 1º de maio de 2023, contra duas falhas abordadas pela Apple na sexta-feira e adicionadas à lista de bugs explorados em ataques na segunda-feira.
A primeira falha (
CVE-2023-28206
) é uma gravação fora dos limites do IOSurfaceAccelerator que pode permitir que invasores usem aplicativos maliciosamente criados para executar código arbitrário com privilégios de kernel em dispositivos direcionados.
O segundo (
CVE-2023-28205
) é uma fraqueza do WebKit após o uso livre que permite que atores de ameaça executem código malicioso em iPhones, Macs ou iPads hackeados depois de enganar os alvos para carregar páginas da web maliciosas sob o controle dos atacantes.
A Apple corrigiu os dois zero-dias no iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1, melhorando a validação de entrada e gerenciamento de memória.
A empresa disse que a lista de dispositivos afetados é bastante extensa e inclui: As falhas foram descobertas pelo Grupo de Análise de Ameaças do Google e pelo Laboratório de Segurança da Anistia Internacional enquanto eram exploradas em ataques como parte de uma cadeia de exploração.
Clément Lecigne do Grupo de Análise de Ameaças do Google e Donncha Ó Cearbhaill do Laboratório de Segurança da Anistia Internacional são creditados pela Apple por relatarem os bugs.
Ambas as organizações relatam frequentemente campanhas de atores de ameaças patrocinados pelo governo, nas quais vulnerabilidades zero-day são exploradas para instalar spyware nos dispositivos de pessoas de alto risco, como políticos, jornalistas e dissidentes em todo o mundo.
O Google TAG e a Anistia Internacional compartilharam mais informações sobre outras vulnerabilidades zero-day e n-day do Android, iOS e Chrome abusadas em duas campanhas recentes para implantar spyware comercial.
Embora as vulnerabilidades que foram adicionadas pela CISA ao seu catálogo KEV hoje provavelmente tenham sido exploradas apenas em ataques altamente direcionados, é aconselhável corrigi-las o mais rápido possível para evitar possíveis ataques.
Há dois meses, a Apple corrigiu outra vulnerabilidade zero-day do WebKit (
CVE-2023-23529
) que foi explorada para acionar falhas no sistema operacional e obter execução de código em iPhones, iPads e Macs vulneráveis.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...