A principios de este año, el Grupo de Análisis de Amenazas (TAG) de Google y el equipo Project Zero descubrieron cinco cadenas de exploits de escalamiento de privilegios utilizadas de forma activa para comprometer dispositivos iOS.
Los ciberdelincuentes utilizaron sitios web comprometidos para ejecutar ataques dirigidos hacia iPhones, que afectan a las versiones de iOS 10 hasta iOS 12, sitios que fueron visitados miles de veces por semana, durante un período de al menos dos años.
En total, los investigadores de seguridad encontraron 14 vulnerabilidades de iOS que fueron explotadas las cuales que conforman cadenas de exploits identificadas, cinco afectan directamente al kernel, mientras que otras siete al navegador web de iPhone (Safari) y otras dos de escape de sandbox.
Una de las cinco cadenas de exploits abusan de las fallas CVE-2019-7287 y CVE-2019-7286, que por aquel entonces eran vulnerabilidades de día cero. Apple lanzó un parche el día 7 de febrero correspondiente a iOS 12.1.4 después de que los investigadores informaron su descubrimiento el 1 de febrero.
El análisis exhaustivo de las cinco cadenas de exploits está disponible en las siguientes publicaciones:
Las víctimas son vulneradas de inmediato y en masa una vez que visitan estos sitios web maliciosos utilizados por esta campaña, con implantes maliciosos que se descargan, instalan y ejecutan en los iPhones vulnerables de los visitantes.
Los operadores de la campaña utilizaron varios exploits JSC WebKit dirigidos al navegador web Safari con el fin de obtener un punto de apoyo inicial. Si bien estos exploits fueron diseñados para eludir las medidas de mitigación de inyección de código JIT, no pudieron eludir los nuevos endurecimientos JIT basados en PAC disponibles en aquellos modelos de iPhones con procesadores A12, esto implica que los usuarios de iPhone XS, iPhone XS Max y iPhone XR se encontraban protegidos de estos ataques.
Desafortunadamente los usuarios infectados no podrían detectar si el implante se estaba ejecutando en sus iPhones ya que no hay forma de acceder a la lista de todos los procesos en ejecución en el dispositivo; esto hizo posible que los creadores del implante omitieron agregar cualquier característica para ocultar la presencia del malware.
REFERENCIA
COMENTARIOS