3 lỗ hổng zero-day được sử dụng để cung cấp phần mềm gián điệp

Hai lỗ hổng đầu tiên được các nhà nghiên cứu của Kaspersky là Georgy Kucherin, Leonid Bezvershenko và Boris Larin báo cáo sau khi họ phát hiện ra bộ cấy ghép phần mềm gián điệp iOS và đặt tên là TriangleDB. Lỗ hổng thứ ba được báo cáo bởi một nhà nghiên cứu ẩn danh.

Ba lỗ hổng

CVE-2023-32439 là lỗ hổng "type confusion" trong công cụ trình duyệt WebKit, có thể bị kích hoạt bởi thiết bị xử lý nội dung web lừa đảo độc hại dẫn đến thực thi mã tùy ý.

CVE-2023-32434 là một lỗ hổng tràn số nguyên ảnh hưởng đến kernel (nhân), cho phép ứng dụng thực thi mã tùy ý với các đặc quyền kernel.

CVE-2023-32435 là lỗi sai lệch bộ nhớ trong WebKit, có thể dẫn đến thực thi mã.

Theo các phát hiện của Kaspersky, Apple nói rằng hai lỗ hổng sau có thể đã bị khai thác trên các phiên bản của iOS được phát hành trước iOS 15.7.

Bộ cấy ghép phần mềm gián điệp

Hồi đầu tháng 6, các nhà nghiên cứu bảo mật của Kaspersky tiết lộ rằng một số thiết bị iOS của công ty họ đã bị nhiễm phần mềm gián điệp chưa được biết trước đây.

Sự lây nhiễm xảy ra thông qua iMessage, các nạn nhân nhận được thông báo với một tệp đính kèm có chứa một khai thác. Tệp này gây ra lỗ hổng cho phép thực thi mã và khai thác phần mềm độc hại tải xuống bổ sung từ máy chủ C2. Cuối cùng, tin nhắn ban đầu và khai thác trong tệp đính kèm được xóa bỏ. Do vậy, nạn nhân không được mở iMessage để gây ra sự lây nhiễm.

Các dấu vết của sự lây nhiễm đầu tiên được phát hiện ra đã xảy ra vào năm 2019. Tháng 6/2023 đã diễn ra cuộc tấn công ra và phiên bản gần đây nhất của các thiết bị bị nhắm mục tiêu thành công là iOS 15.7.

Hôm 21/6, các nhà nghiên cứu đã chia sẻ thêm thông tin chi tiết về phần mềm gián điệp: “Cấy ghép được triển khai sau khi những kẻ tấn công có được đặc quyền gốc trên thiết bị iOS mục tiêu bằng cách khai thác lỗ hổng kernel (CVE-2023-32435). Nó được triển khai trong bộ nhớ, nghĩa là tất cả các dấu vết của sự lây nhiễm đều bị mất khi thiết bị được khởi động lại. Do đó, nếu nạn nhân khởi động lại thiết bị của họ, những kẻ tấn công phải tái lây nhiễm thiết bị bằng cách gửi một iMessage với một tệp đính kèm độc hại, do đó phải khởi chạy toàn bộ chuỗi khai thác một lần nữa. Trong trường hợp không có khởi động lại xảy ra, sau 30 ngày, những cài đặt cấy ghép sẽ được gỡ bỏ, trừ khi kẻ tấn công thực hiện việc kéo dài thời gian này”.

Cấy ghép có khả năng thao tác và thoát các tệp, chấm dứt các tiến trình, truy xuất các mục nhập chuỗi khóa của thiết bị bị nhiễm, xác định chính xác vị trí của thiết bị và chạy các module bổ sung.

Các nhà nghiên cứu cho biết: “Trong khi phân tích TriangleDB, chúng tôi thấy lớp crconfig (được sử dụng để lưu trữ cấu hình cấy ghép) có một phương pháp có tên là With Fields MacOS Only. Phương pháp này chưa được đề cập ở đâu trong cấy ghép iOS. Tuy nhiên, sự tồn tại của nó đồng nghĩa với việc các thiết bị macOS cũng có thể bị nhắm mục tiêu với một cấy ghép tương tự”.

Cập nhật thiết bị của bạn!

Các bản cập nhật mới nhất mà Apple đã đưa ra là: iOS và iPadOS các phiên bản 16.5.1 và 15.7.7; macOS phiên bản 13.4.1, 12.6.7 và 11.7.8; Safari phiên bản 16.5.1; watchOS phiên bản 9.5.2 và 8.8.1

Người dùng nên nâng cấp thiết bị của mình càng sớm càng tốt.

Không chắc rằng TriangleDB đã được triển khai rộng rãi, nhưng nếu bạn nghi ngờ mình nằm trong số những người có thể bị nhắm mục tiêu thì bạn có thể sử dụng công cụ Triangle_check do Kaspersky cung cấp để kiểm tra bản sao lưu thiết bị di động của mình./.