Dias depois do Google, Apple revela exploração de dia zero no mecanismo do navegador

A Apple corrigiu um bug de dia zero explorado ativamente em seu mecanismo de navegador WebKit para Safari.

O bug, atribuído como CVE-2024-23222, decorre de um erro de confusão de tipo, que basicamente é o que acontece quando um aplicativo assume incorretamente que a entrada que recebe é de um determinado tipo sem realmente validar — ou validar incorretamente — que esse seja o caso.

Explorado ativamente

A Apple descreveu ontem a vulnerabilidade como algo que um invasor poderia explorar para executar código arbitrário nos sistemas afetados. “A Apple está ciente de um relatório de que este problema pode ter sido explorado”, observou a assessoria da empresa, sem oferecer mais detalhes.

A empresa lançou versões atualizadas de iOS, iPadOS, macOS, iPadOS e tvOS com verificações de validação adicionais para resolver a vulnerabilidade.

CVE-2024-23222 é a primeira vulnerabilidade de dia zero que a Apple divulgou no WebKit em 2024. No ano passado, a empresa divulgou um total de 11 bugs de dia zero na tecnologia – o maior número de todos os tempos em um único ano civil. Desde 2021, a Apple divulgou um total de 22 bugs de dia zero do WebKit, destacando o interesse crescente no navegador por parte de pesquisadores e invasores.

Paralelamente, a divulgação do novo WebKit zero-day pela Apple segue a divulgação do Google na semana passada de um dia zero no Chrome. É pelo menos a terceira vez nos últimos meses que ambos os fornecedores divulgaram zero-days em seus respectivos navegadores próximos um do outro. A tendência sugere que investigadores e atacantes estão a investigar quase igualmente falhas em ambas as tecnologias, provavelmente porque o Chrome e o Safari são também os navegadores mais utilizados.

A ameaça de espionagem

A Apple não divulgou a natureza da atividade de exploração direcionada ao bug de dia zero recentemente divulgado. Mas os pesquisadores relataram ter visto fornecedores comerciais de spyware abusando de alguns dos mais recentes da empresa, para lançar software de vigilância em iPhones de alvos.

Em setembro de 2023, o Citizen Lab da Universidade de Toronto alertou a Apple sobre duas vulnerabilidades de dia zero sem clique no iOS que um fornecedor de software de vigilância explorou para instalar a ferramenta de spyware Predator em um iPhone pertencente a um funcionário de uma organização com sede em Washington, DC. No mesmo mês, os pesquisadores do Citizen Lab também relataram uma cadeia de exploração de dia zero separada – que incluía um bug do Safari – que eles descobriram visando dispositivos iOS.

O Google sinalizou preocupações semelhantes no Chrome, quase em conjunto com a Apple, em algumas ocasiões recentemente. Em setembro de 2023, por exemplo, quase na mesma época em que a Apple divulgou seus bugs de dia zero, pesquisadores do grupo de análise de ameaças do Google identificaram uma empresa de software comercial chamada Intellexa como desenvolvendo uma cadeia de exploração – que incluía um dia zero do Chrome (CVE-2023-4762) — para instalar o Predator em dispositivos Android. Apenas alguns dias antes, o Google havia divulgado outro dia zero no Chrome (CVE-2023-4863) na mesma biblioteca de processamento de imagem em que a Apple divulgou o dia zero.

Lionel Litty, arquiteto-chefe de segurança da empresa de segurança de navegadores Menlo Security, diz que é difícil dizer se há alguma conexão entre o Google e o primeiro navegador de dia zero da Apple para 2024, dadas as informações limitadas disponíveis atualmente. “O Chrome CVE estava no mecanismo JavaScript (v8) e o Safari usa um mecanismo JavaScript diferente”, diz Litty. “No entanto, não é incomum que diferentes implementações tenham falhas muito semelhantes.”

Depois que os invasores encontram um ponto fraco em um navegador, eles também investigam outros navegadores na mesma área, diz Litty. “Portanto, embora seja improvável que esta seja exatamente a mesma vulnerabilidade, não seria muito surpreendente se houvesse algum DNA compartilhado entre as duas explorações em estado selvagem.”

Explosão em ataques de phishing baseados em navegador de hora zero

Os fornecedores de vigilância não são, de longe, os únicos que tentam explorar as vulnerabilidades dos navegadores e dos navegadores em geral. De acordo com um relatório da Menlo Security a ser divulgado em breve, houve um aumento de 198% nos ataques de phishing baseados em navegador no segundo semestre de 2023 em comparação com os primeiros seis meses do ano. Os ataques evasivos – uma categoria que Menlo descreve como a utilização de técnicas para escapar aos controlos de segurança tradicionais – aumentaram ainda mais, em 206%, e foram responsáveis ​​por 30% de todos os ataques baseados em navegadores no segundo semestre de 2023.

Durante um período de 30 dias, Menlo diz ter observado mais de 11,000 ataques de phishing baseados em navegador de “hora zero” evitando o Secure Web Gateway e outras ferramentas de detecção de ameaças de endpoint.

“O navegador é o aplicativo de negócios sem o qual as empresas não podem viver, mas ficou para trás do ponto de vista de segurança e capacidade de gerenciamento”, disse Menlo no próximo relatório.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine