Scoperti due exploit in iOS che colpiscono Mail

Due vulnerabilità zero-day che interessano i dispositivi iPhone e iPad sono state rilevate dalla startup ZecOps dopo la scoperta di una serie di attacchi remoti in corso che hanno colpito gli utenti iOS a partire da gennaio 2018.

“Lo scopo dell’attacco consiste nell’inviare un’e-mail appositamente predisposta nella cassetta postale di una vittima he consente di innescare la vulnerabilità nel contesto dell’applicazione iOS MobileMail su iOS 12 o di maild su iOS 13“, hanno detto i ricercatori di ZecOps.

Sfruttando con successo la vulnerabilità – una scrittura fuori campo ( Out-of-bounds Write OOB Write ) e un overflow dell’heap remoto ( Remote Heap Overflow ) – consente agli aggressori di eseguire codice remoto su dispositivi iPhone e iPad compromessi consentendo loro di accedere, perdere, modificare ed eliminare messaggi di posta elettronica.

“Un’ulteriore vulnerabilità del kernel fornirebbe pieno accesso al dispositivo – sospettiamo che questi aggressori avessero un’altra vulnerabilità”, ha spiegato ulteriormente ZecOps.

You’ve Got (0-click) Mail! Unassisted iOS Attacks via MobileMail/Maild in the Wild via @ZecOps Blog https://t.co/tHbq1ZUuom
— ZecOps (@ZecOps) April 22, 2020

Hacker “statali” dietro gli attuali attacchi in corso

I ricercatori hanno scoperto gli attacchi remoti a seguito di un’indagine di routine su ­­­­ (DFIR) di iOS mentre stavano prendendo di mira gli utenti di iOS 11.2.2 tramite l’applicazione di posta predefinita.

I ricercatori informano che gruppi di attaccanti (hanno individuato almeno una società di “CyberCrime a noleggio” forse assoldati da uno stato nazionale) stanno già sfruttando queste vulnerabilità da circa due anni per colpire, sembra, obiettivi specifici in taluni settori ed organizzazioni dell’Arabia Saudita, di Israele e giornalisti in Europa, in ogni caso vittime di alto profilo in attacchi mirati.

Riassumendo ZecOps ha rilevato che tra i numerosi attacchi altamente mirati sfruttando questi zero-day iOS ci sono:

  • Individui che lavorano per diverse società in Nord America
  • Un dirigente di un operatore in Giappone
  • Un VIP dalla Germania
  • MSSP dall’Arabia Saudita e da Israele
  • Un giornalista in Europa
  • Sospettato: un dirigente di un’azienda svizzera

Sebbene ZecOps non volesse attribuire gli attacchi a uno specifico attaccante, i ricercatori hanno affermato di essere a conoscenza di almeno un’organizzazione che “vende exploit utilizzando vulnerabilità che sfruttano gli indirizzi e-mail come identificatore principale”.

Tutti i dispositivi che eseguono iOS 6 e versioni successive sono vulnerabili

Le vulnerabilità critiche si trovano nella libreria MIME dell’applicazione di messaggistica e vengono sfruttate durante l’elaborazione del contenuto delle E-mail eseguito dal dispositivo.

Su iOS 13, lo sfruttamento delle vulnerabilità non richiede interazione da parte dell’utente, mentre su iOS 12 gli utenti devono fare clic sull’e-mail per far hackerare il proprio iPhone o iPad. Gli aggressori possono anche provare a sfruttare la vulnerabilità più volte senza lasciare traccia su iOS 13 oltre a parte un temporaneo rallentamento, mentre su iOS 12 l’applicazione Mail si blocca improvvisamente.

Se gli attacchi falliscono, i target non vedranno alcun segnale su iOS 13, mentre su iOS 12 i messaggi di posta elettronica con “Questo messaggio non ha contenuto” verranno visualizzati nella posta in arrivo.

“Se non è possibile applicare patch a questa versione, assicurarsi di non utilizzare l’applicazione Mail – e invece di utilizzare temporaneamente Outlook o Gmail che, al momento della stesura di questo documento, non sono risultati vulnerabili”, consiglia ZecOps, “Con dati molto limitati siamo stati in grado di vedere che almeno sei organizzazioni sono state colpite da questa vulnerabilità – e l’intera portata dello sfruttamento di questa vulnerabilità è enorme. Siamo certi che debba essere fornita una patch per tali problemi al più presto.”

Apple ha già incluso una patch per zero-day in iOS 13.4.5 beta 2 rilasciata il 15 aprile, con una soluzione di sicurezza che sarà presto disponibile per gli utenti di versioni iOS stabili.

iOS zero-days

Le vulnerabilità zero-day (anche dette 0day o 0-day) sono bug di sicurezza sconosciuti o non ancora corretti dal fornitore, esponendo così i dispositivi che eseguono il software vulnerabile o che utilizzano l’hardware vulnerabile agli attacchi.

Gli zero-day su iOS scoperti da ZecOps non sono i primi che Apple ha dovuto correggere finora, basti ricordare le due che sono state corrette in iOS 12.1.4 e un paio di altri che hanno ricevuto correzioni dopo essere stati sfruttati da diversi attaccanti come parte di una catena di cinque exploit di privilege escalation.

La piattaforma di acquisizione di exploit zero-day Zerodium ha ridotto i pagamenti per zero-day iOS a settembre 2019, per esempio gli exploit full chain Apple iOS (1 clic) persistenti a $ 1.000.000 da $ 1.500.000, mentre iMessage RCE + LPE (1-Click) quindi exploit senza persistenza, portando il prezzo a $ 500.000 rispetto al precedente di $ 1.000.000.

Chaouki Bekrar, CEO di Zerodium, ha dichiarato che “negli ultimi mesi abbiamo osservato un aumento del numero di exploit iOS, principalmente su Safari e iMessage, sviluppato e venduto da ricercatori di tutto il mondo. Il mercato degli zero-day è così pieno di exploit iOS che di recente abbiamo iniziato a rifiutarne alcuni.”

Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub