苹果用户应立即更新其所有设备——iPhone、iPad、Mac和AppleWatch——以防止以色列公司安装紧急补丁NSO利用iMessage漏洞感染设备。
苹果周一推出的安全更新包括适用于iPhone和iPad的iOS14.8,以及适用于Apple Watch和macOS紧急更新。这些补丁至少会修复一个“可能已经积极使用”的漏洞。
Citizen Lab上个月,我第一次发现了前所未有的零点击漏洞,发现漏洞的目标是iMessage。根据网络安全监管机构的说法,这个漏洞是用来利用的NSO公司开发的Pegasus非法监视巴林活动家的间谍软件。
Citizen Lab称这个特殊的漏洞为ForcedEntry,因为它可以绕过Apple的BlastDoor保护。
Citizen Lab8月份,他们已经确定了9名巴林活动家,他们iPhone2020年6月至2021年2月期间Pegasus间谍软件的影响。一些活动家的手机零点击iMessage攻击,除了ForcedEntry还包括2020KISMET漏洞利用。
包括这些活动家Waad巴林人权中心的三名成员,两名流亡的巴林持有不同的政治观点AlWefaq(巴林什叶派政治协会)成员。
ForcedEntry漏洞特别引人注目,因为它成功部署到最新iOS版本14.4和14.6,绕过Apple的BlastDoor在巴林保护和激进分子iPhone间谍软件安装在上面。
Citizen Lab2021年2月首次观察NSO Group部署了ForcedEntry。Apple刚刚推出了BlastDoor,这是iOS14其中一个结构改进旨在防止基于消息的零点击漏洞,例如上个月NSO Group相关攻击。
BlastDoor应通过充当Google Project Zero的Samuel Groß所说的“严密沙盒”防止这种类型的服务Pegasus该服务几乎负责所有攻击iMessages中不受信任数据的解析。
在周一的一篇帖子中,Citizen Lab研究人员表示,2021年3月,他们检查了一名匿名沙特活动家的电话号码,并确认该电话已被感染NSO集团的Pegasus间谍软件。9月7日,上周二,Citizen Lab另一种感染被转发Pegasus两种类型的手机崩溃artifact,怀疑这两种感染都表现出来了ForcedEntry利用链条的一部分漏洞。
Citizen Lab9月7日星期二artifact转发给苹果。9月13日,星期一,苹果确认这些文件包括iOS和MacOS的0day漏洞利用。Apple已指定ForcedEntry漏洞的正式名称是CVE-2021-30860:未评级的漏洞,Apple将漏洞描述为“处理恶意生产PDF可能导致任意代码执行”。
嗅探NSO公司的踪迹
Citizen Lab研究人员高度相信,以色列秘密间谍软件制造商列出了几个不同的因素NSO Group相关联,其中包括一个名为CascadeFail的forensic artifact。
根据Citizen Lab的说法,CascadeFail是一个bug,“证据不完全来自手机DataUsage.sqlite文件中删除”。在CascadeFail中,“文件的ZPROCESS表中的条目被删除,但是ZLIVEUSAGE已删除的引用表中ZPROCESS不会删除条目。”
他们说,是的NSO Group独特的标志:“我们只见过这种和NSO Group的Pegasus与间谍软件相关的不完整删除,我们相信这个漏洞的独特性足以指向NSO。”
另一个明显的迹象:ForcedEntry漏洞安装的多个过程名称包括“setframed”。根据Citizen Lab2020年7月020年7月使用NSO集团的Pegasus在攻击半岛电视台记者时使用间谍软件:监管机构当时没有透露更多细节。
使用零点击远程漏洞,如Pegasus当受害者不知道或根本不需要点击任何东西时,间谍软件隐形感染Apple该设备的新方法被用来感染害者六个月。对于想秘密监控目标设备而不被发现的政府、雇佣军和罪犯来说,这是完美的。
Pegasus这是一个强大的间谍软件:它可以打开目标摄像头和麦克风来记录信息、文本、电子邮件和电话,即使它们通过Signal发送加密信息应用程序。
关于Pegasus的陈词滥调
NSO长期以来,它一直坚持将其间谍软件出售给少数经过全面审查侵犯人权的国家的情报机构。该公司试图质疑Citizen Lab方法和动机,一再保持这种说法。
但就像端点到云安全公司一样Lookout的安全解决方案高级经理HankSchless这种说法现在已经相当老套了。“最近曝光的5万个和NSO与集团客户目标相关的电话号码让大家看透了实际情况。”
“自从Lookout2016年和公民实验室首次发现Pegasus它一直在发展,并具有新的功能。”“它现在可以部署为零点击漏洞,这意味着目标用户甚至可以安装监控软件,而无需点击恶意链接。”
Schless继续说,恶意软件虽然调整了其传播方式,但基本漏洞利用链保持不变。“Pegasus通过恶意链接传播社会工程的目标,利用漏洞,破坏设备,然后恶意软件返回命令和控制(C2)服务器允许攻击者自由控制设备。为了改善用户体验,许多应用程序会自动创建链接预览或缓存。Pegasus使用此功能静默感染设备。”
Schless例如,个人和企业组织了解移动设备的风险是多么重要,Pegasus只是一个“极端但易于理解的例子”。
“有无数恶意软件可以很容易地使用已知的设备和软件漏洞来访问您最敏感的数据。”“从企业的角度来看,将移动设备排除在更大的安全策略之外,可能会导致保护整个基础设施免受恶意行为者攻击能力的重大差距。一旦攻击者控制了移动设备,甚至泄露了用户的凭证,他们就可以自由访问你的整个基础设施。一旦他们进入您的云或本地应用程序,他们可以水平移动并识别敏感资产以加密勒索软件攻击或泄露给高价买家。”
统一访问提供商Pathlock的总裁凯文·邓恩(KevinDunne)指出,Pegasus感染表明,企业需要超越将服务器和工作站作为网络攻击和间谍活动的主要目标。“移动设备现在被广泛使用,包括需要保护的敏感信息。”
邓恩说,为了保护自己免受间谍软件的侵害,企业应该审视他们的移动设备安全策略,特别是当威胁远远超过安全团队来培训用户的防御时SMS当新闻或钓鱼链接以更阴险的形式出现时。
“间谍软件攻击者现在设计了零点击攻击,能够通过使用第三方应用程序甚至内置应用程序中的漏洞来完全访问手机的数据和麦克风/摄像头。”“为了修复任何漏洞,组织需要确保它们能够控制用户下载到手机上的应用程序。”
本文翻译自:https://threatpost.com/apple-emergency-fix-nso-zero-click-zero-day/169416/如果转载,请注明原始地址。