Recentemente corrigido, falhas de zero-day do Apple e Chrome exploradas em ataques de spyware
25 de Setembro de 2023

Pesquisadores de segurança do Citizen Lab e do Grupo de Análise de Ameaças (TAG) do Google revelaram hoje que três falhas de zero-day corrigidas pela Apple na quinta-feira foram exploradas como parte de uma cadeia de exploração para instalar o spyware Predator da Cytrox.

Entre maio e setembro de 2023, os atacantes exploraram as falhas ( CVE-2023-41991 , CVE-2023-41992 e CVE-2023-41993 ) em ataques usando mensagens de SMS e WhatsApp para atingir o ex-deputado egípcio Ahmed Eltantawy após anunciar planos para concorrer à eleição presidencial egípcia em 2024.

"Em agosto e setembro de 2023, a conexão móvel Vodafone Egito de Eltantawy foi persistentemente selecionada para ser atacada via injeção de rede", explicou o Citizen Lab.

"Quando Eltantawy visitou certos sites sem usar HTTPS, um dispositivo instalado na fronteira da rede da Vodafone Egito o redirecionou automaticamente para um site malicioso para infectar seu telefone com o spyware Predator da Cytrox."

Em dispositivos iOS, a exploração de dia zero dos atacantes usou o CVE-2023-41993 para execução remota inicial de código (RCE) no Safari usando páginas da web criadas de maneira maliciosa, o bug CVE-2023-41991 para evitar a validação de assinatura e o CVE-2023-41992 para escalonamento de privilégios de kernel.

A cadeia de exploração foi ativada automaticamente após o redirecionamento, implantando e executando um código binário malicioso projetado para escolher se o implante spyware deveria ser instalado no dispositivo comprometido.

O Google TAG também observou os atacantes usando uma cadeia de exploração separada para soltar o spyware Predator em dispositivos Android no Egito, explorando o CVE-2023-4762 - um bug do Chrome corrigido em 5 de setembro - como um dia zero para obter execução de código remoto.

"Esse bug já havia sido relatado separadamente ao Programa de Recompensas de Vulnerabilidade do Chrome por um pesquisador de segurança e foi corrigido em 5 de setembro.

Avaliamos que a Intellexa também estava usando anteriormente essa vulnerabilidade como um dia zero", disse Maddie Stone do Google TAG.

A equipe de Engenharia & Arquitetura de Segurança da Apple confirmou hoje que o Modo de Bloqueio do iOS teria bloqueado o ataque.

O Citizen Lab aconselhou todos os usuários da Apple em risco a instalar as atualizações de segurança de emergência da Apple e habilitar o Modo de Bloqueio para evitar possíveis ataques que exploram essa cadeia de exploração.

"Dado que o Egito é um conhecido cliente do spyware Predator da Cytrox, e o spyware foi entregue por meio de injeção de rede a partir de um dispositivo localizado fisicamente dentro do Egito, atribuímos o ataque de injeção de rede ao governo egípcio com grande confiança", acrescentou o Citizen Lab.

Pesquisadores de segurança do Citizen Lab divulgaram duas outras falhas de dia zero ( CVE-2023-41061 e CVE-2023-41064 ), corrigidas pela Apple em atualizações de segurança de emergência no início deste mẽs, abusadas como parte de outra cadeia de exploração de zero clique (chamada BLASTPASS) para infectar iPhones totalmente atualizados com o spyware Pegasus do Grupo NSO.

A Apple corrigiu as três falhas de zero-day na quinta-feira no iOS 16.7 e 17.0.1, abordando um problema de validação de certificado e por meio de verificações aprimoradas.

A lista completa de dispositivos afetados inclui uma ampla gama de modelos de dispositivos mais antigos e mais recentes:

iPhone 8 e posteriores
iPad mini 5ª geração e posteriores
Macs rodando macOS Monterey e mais recente
Apple Watch Series 4 e posteriores

Desde janeiro de 2023, a Apple corrigiu um total de 16 falhas de dia zero exploradas em ataques direcionados a seus clientes, incluindo:

dois zero-days ( CVE-2023-37450 e CVE-2023-38606 ) em julho
três zero-days ( CVE-2023-32434 , CVE-2023-32435 e CVE-2023-32439 ) em junho
mais três zero-days ( CVE-2023-32409 , CVE-2023-28204 e CVE-2023-32373 ) em maio
dois zero-days ( CVE-2023-28206 e CVE-2023-28205 ) em abril
e mais um zero-day no WebKit ( CVE-2023-23529 ) em fevereiro.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...