Apple用户应立即更新其所有设备(iPhone、iPad、Mac和AppleWatch)以安装紧急补丁,以防止以色列公司NSO利用iMessage中的漏洞感染设备。Apple周一推出的安全更新包括适用于iPhone和iPad的iOS14.8,以及适用于AppleWatch和macOS的紧急更新。这些补丁将修复至少一个它所说的“可能已被积极利用”的漏洞。CitizenLab上个月首次发现了一个前所未见的零点击漏洞,并检测到它针对的是iMessage。据网络安全监管机构称,该漏洞被用于使用NSO开发的Pegasus间谍软件非法监视巴林活动家。CitizenLab将此特定漏洞称为ForcedEntry,因为它能够绕过Apple的BlastDoor保护。CitizenLab在8月表示,它已经确定了9名巴林激进分子的iPhone在2020年6月至2021年2月期间受到Pegasus间谍软件的影响。几名激进分子的手机遭受了零点击iMessage攻击,除了ForcedEntry之外,还包括2020KISMET漏洞。这些活动人士包括Waad的三名成员、巴林人权中心的三名成员、两名流亡的巴林持不同政见者和巴林什叶派政治协会AlWefaq的一名成员。ForcedEntry漏洞特别值得注意,因为它已成功部署到最新的iOS版本14.4和14.6,绕过Apple的BlastDoor保护,在巴林激进分子的iPhone上安装间谍软件。CitizenLab于2021年2月首次观察到NSOGroup部署了ForcedEntry。Apple刚刚推出了BlastDoor,这是iOS14中的一项架构改进,旨在阻止基于消息的零点击攻击,例如上个月与NSOGroup相关的攻击。BlastDoor应该通过充当GoogleProjectZero的SamuelGro?所称的“严格沙盒”服务来防止此类Pegasus攻击,该服务负责解析iMessages中几乎所有不受信任的数据。在周一的一篇帖子中,CitizenLab研究人员表示,2021年3月,他们检查了一位要求匿名的沙特激进分子的电话,并确定该电话感染了NSOGroup的Pegasus间谍软件。上周二,即9月7日,CitizenLab转发了另一部受Pegasus感染的手机上的两种类型的崩溃,这两种崩溃都被怀疑显示了ForcedEntry漏洞利用链的一部分。CitizenLab于9月7日星期二将这些工件转发给了Apple。9月13日星期一,Apple确认这些文件包含针对iOS和MacOS的零日漏洞。Apple已将ForcedEntry漏洞的官方名称指定为CVE-2021-30860:Apple将其描述为“处理可能导致任意代码执行的恶意制作的PDF”的未评级漏洞。嗅探NSO的踪迹CitizenLab列出了几个不同的因素,使研究人员高度相信该漏洞可能与秘密的以色列间谍软件制造商NSOGroup有关,包括一个名为CascadeFail的取证工件。根据CitizenLab的说法,CascadeFail是一个错误,“证据没有从手机的DataUsage.sqlite文件中完全删除”。在CascadeFail中,“文件的ZPROCESS表中的条目被删除,但ZLIVEUSAGE表中引用已删除的ZPROCESS条目的条目未被删除。”这有NSOGroup特定的标志,他们说:“我们只看到与NSOGroup的Pegasus间谍软件相关的不完全删除,我们认为它非常独特,足以指向NSO。”另一个明显迹象:ForcedEntry漏洞安装的多个进程名称,包括“setframed”。据CitizenLab称,该进程名称曾用于2020年7月使用NSOGroup的Pegasus间谍软件攻击半岛电视台记者:监管机构当时没有提供更多细节。零点击远程攻击,例如Pegasus间谍软件在受害者不知情或根本不需要点击任何东西的情况下隐形感染Apple设备的新方法,被用来感染一名受害者长达六个月。它非常适合想要在不被发现的情况下秘密监控目标设备的政府、雇佣军和罪犯。Pegasus是一种强大的间谍软件:它可以打开目标的摄像头和麦克风,以便记录消息、文本、电子邮件和电话,即使它们是通过Signal等加密消息应用程序发送的。关于PegasusNSO的陈词滥调长期以来一直坚称,它只向少数国家的情报机构出售其间谍软件,这些国家的侵犯人权行为已经过彻底审查。该公司一再坚持这一说法,试图质疑CitizenLab的方法和动机。但是,正如端点到云安全公司Lookout的安全解决方案高级经理HankSchless指出的那样,如今这种说法已经过时了。“最近与NSO集团客户目标相关的50,000个电话号码曝光,让所有人都能看到现实情况。”“自2016年Lookout和CitizenLab首次发现Pegasus以来,它一直在不断发展,并具有新的功能。”“它现在可以作为零点击漏洞进行部署,这意味着目标用户甚至不必点击在恶意链接上安装监控软件。”Schless继续说,虽然恶意软件已经调整了它的传播方法,但基本的利用链保持不变。“Pegasus通过针对目标的社会工程恶意链接传播,漏洞被利用,设备被破坏,然后恶意软件返回到命令和控制(C2)服务器,让攻击者可以自由控制设备。许多应用程序会自动创建链接预览或缓存以改善用户体验。Pegasus利用这种能力悄无声息地感染设备。”Schless说,这是一个例子,说明个人和组织了解其移动设备的风险是多么重要,而Pegasus只是一个“极端但易于理解的例子”。“有一个无数的恶意软件可以轻松利用已知的设备和软件漏洞来访问您最敏感的数据。”“从企业的角度来看,将移动设备排除在更大的安全策略之外可能会损害整个保护基础。在保护您的设施免受恶意行为者侵害的能力方面存在重大差距。一旦攻击者控制了移动设备,甚至泄露了用户的凭据,他们就可以免费访问您的整个基础设施。一旦他们获得对您的云或本地应用程序的访问权限,他们就可以横向移动并识别敏感资产以进行加密以应对勒索软件攻击或向高价买家披露。统一访问编排提供商Pathlock总裁凯文邓恩指出,Pegasus感染表明企业需要超越将服务器和工作站作为网络攻击和间谍活动主要目标的想法。“移动设备现在被广泛使用,并且包含需要保护的敏感信息。为了保护自己免受间谍软件的侵害,企业应该审查他们的移动设备安全策略,”Dunn说,特别是当威胁以比可疑的方式更隐蔽的形式出现时安全团队培训用户防范的短信或网络钓鱼链接。时间。”间谍软件攻击者现在正在设计零点击攻击,能够通过利用第三方应用程序甚至内置应用程序中的漏洞获得对手机数据和麦克风/摄像头的完全访问权限。“组织需要确保他们可以控制应用程序用户下载到他们的手机上,并确保这些应用程序是最新的,以便可以修补任何漏洞。”“本文翻译自:https://threatpost.com/apple-emergency-fix-nso-zero-click-zero-day/169416/如有转载,请注明原文地址。
