תיקון עכשיו: Apple Zero-Day מנצלת את אבטחת ליבת עוקפת

אפל פרסמה עדכוני אבטחה לשעת חירום כדי לתקן שתי נקודות תורפה קריטיות ביום אפס של iOS שבהן משתמשים תוקפי סייבר באופן פעיל כדי לסכן משתמשי אייפון ברמת הליבה.

לפי עלון האבטחה של אפל ששוחררו ב-5 במרץ, באגי השחתת הזיכרון מאפשרים גם לשחקני איומים עם יכולות קריאה וכתיבה שרירותיות של ליבה לעקוף הגנות על זיכרון ליבה:

בעוד שאפל, נאמנה לצורתה, סירבה להציע פרטים נוספים, קרישנה וישנובוטלה, סגן נשיא לאסטרטגיית מוצר בספקית האבטחה הסלולרית Zimperium, מסביר שפגמים כמו אלה מחזקים את הסיכון לאנשים ולארגונים.

"הליבה בכל פלטפורמה היא קריטית מכיוון שהיא מנהלת את כל פעולות מערכת ההפעלה ואינטראקציות החומרה", הוא מסביר. "פגיעות בו המאפשרת גישה שרירותית יכולה לאפשר לתוקפים לעקוף מנגנוני אבטחה, מה שעלול להוביל להתפשרות מלאה על המערכת, לפרצות מידע והכנסת תוכנות זדוניות".

ולא רק זה, אלא שמעקפים להגנה על זיכרון ליבה הם שזיף מיוחד עבור תוקפי סייבר ממוקדי אפל.

"לאפל יש הגנות חזקות כדי למנוע מאפליקציות לגשת לנתונים ולפונקציונליות של אפליקציות אחרות או של המערכת", אומר ג'ון באמבנק, נשיא ב-Bambenek Consulting. "עקיפת הגנות הליבה בעצם מאפשרת לתוקף לבצע rootkit לטלפון כך שיוכל לגשת לכל דבר כמו ה-GPS, המצלמה והמיקרופון, והודעות שנשלחו והתקבלו בטקסט ברור (כלומר, איתות)."

באגים של אפל: לא רק עבור Rootkitting במדינות לאום

מספר ימי האפס המנוצלים עבור אפל עד כה עומד על שלושה: בינואר, ענקית הטכנולוגיה תיקנה ניצלו באופן פעיל באג יום אפס במנוע הדפדפן Safari WebKit (CVE-2024-23222), שגיאת בלבול סוג.

לא ברור מי מבצע את הניצול במקרה הזה, אבל משתמשי iOS הפכו למטרות מובילות עבור תוכנות ריגול בחודשים האחרונים. בשנה שעברה, חוקרי קספרסקי גילו סדרה של פגמים ביום אפס של אפל (CVE-2023-46690, CVE-2023-32434, CVE-2023-32439) הקשורים ל מבצע טריאנגולציה, קמפיין ריגול סייבר מתוחכם, סביר בחסות המדינה, שפרס שתלי ריגול של TriangleDB במכשירי iOS במגוון יעדים ממשלתיים וארגוניים. ומדינות לאום ידועות בשימוש בהן אפס ימים להפיל את תוכנת הריגול Pegasus של קבוצת NSO במכשירי iOS - כולל לאחרונה קמפיין נגד החברה האזרחית הירדנית.

עם זאת, ג'ון גלאגר, סגן נשיא Viakoo Labs ב-Viakoo, אומר שאופי התוקפים יכול להיות יותר ארצי - ומסוכן יותר לארגונים יומיומיים.

"פגיעויות ביום אפס של iOS אינן מיועדות רק למתקפות ריגול בחסות המדינה, כמו פגסוס", הוא אומר, ומוסיף שהיכולת לעקוף הגנות זיכרון הליבה תוך כדי הרשאות קריאה וכתיבה היא "רצינית ככל שתהיה." הוא מציין, "כל שחקן איום המכוון להתגנבות ירצה למנף ניצול של יום אפס, במיוחד במכשירים בשימוש רב, כגון סמארטפונים, או מערכות בעלות השפעה, כגון מכשירי ואפליקציות IoT."

משתמשי אפל צריכים לעדכן לגרסאות הבאות כדי לתקן את הפגיעויות עם אימות קלט משופר: iOS 17.4, iPadOS 17.4, iOS 16.76 ו-iPad 16.7.6.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security