Apple resuelve problemas de emergencia para NSO Zero-Click Zero Day - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Apple resuelve problemas de emergencia para NSO Zero-Click Zero Day

Hola de nuevo. En el teclado Eduardo Arroyo y en el día de hoy hablaremos sobre Apple resuelve problemas de emergencia para NSO Zero-Click Zero Day

Apple resuelve problemas de emergencia para NSO Zero-Click Zero Day

Citizen Lab invita a los usuarios de Apple a actualizar de inmediato. El nuevo defecto ForcedEntry zero-click zero-day afecta a todo Apple: iPhones, iPads, Mac y relojes.

Los usuarios de Apple deben actualizar de inmediato todos sus dispositivos (iPhone, iPad, Mac y Apple Watch) para instalar un parche de emergencia para un día cero sin hacer clic explotado por el Grupo NSO para instalar software espía.

los actualizaciones de seguridad, lanzado por Apple el lunes, incluye iOS 14.8 para iPhone y iPad, así como nuevas actualizaciones para Apple Watch y macOS. Los parches abordarán al menos una vulnerabilidad que, según el gigante tecnológico, «puede haber sido explotada activamente».

Citizen Lab descubrió por primera vez el exploit de cero clic nunca antes visto, que apuntó a iMessaging, el mes pasado. Supuestamente se utilizó para espiar ilegalmente a activistas de Bahrein con el software espía Pegasus de NSO Group, según la autoridad supervisora ​​de seguridad cibernética.

Los investigadores digitales llamaron ForcedEntry al nuevo exploit de iMessaging.

Citizen Group dijo en agosto que había identificado a nueve activistas bahreiníes cuyos iPhones estaban infectados con el software espía Pegasus entre junio de 2020 y febrero de 2021. Algunos de los teléfonos de los activistas experimentaron ataques de iMessage sin clic que, además de ForcedEntry, también incluían el exploit KISMET. de 2020.

Los activistas incluyeron a tres miembros de Waad (una sociedad política laica de Bahrein), tres miembros de la Centro de Derechos Humanos de Bahrein, dos disidentes de Bahréin en el exilio y un miembro de la Al Wefaq (una sociedad política chií de Bahrein), escribió Citizen Lab.

El exploit ForcedEntry fue particularmente notable, ya que se implementó con éxito en las últimas versiones de iOS, 14.4 y 14.6, superando la nueva función de sandboxing BlastDoor de Apple para instalar software espía en los iPhones de los activistas de Bahrein.

Citizen Lab observó por primera vez la implementación de ForcedEntry por parte de NSO Group en febrero de 2021. Apple acababa de presentar BlastDoor, una mejora estructural en iOS 14 destinada a bloquear exploits basados ​​en mensajes y sin hacer clic, como estos ataques asociados a NSO. Group, el mes anterior. Se suponía que BlastDoor evitaría este tipo de ataque de Pegasus actuando como Samuel Groß. por Google Project Zero llamado un servicio «estrictamente aislado» responsable de «casi todo» el análisis de datos que no son de confianza en iMessage.

en un enviar El lunes, los investigadores de Citizen Lab dijeron que en marzo de 2021 habían examinado el teléfono de un activista saudí que había solicitado el anonimato y determinaron que el teléfono estaba infectado con el software espía Pegasus de NSO Group. El martes 7 de septiembre, Citizen Lab reenvió artefactos de dos tipos de fallas a otro teléfono que estaba infectado con Pegasus, sospechando que ambas infecciones mostraban partes de la cadena de exploits ForcedEntry.

Citizen Lab envió los artefactos a Apple el martes 7 de septiembre. El lunes 13 de septiembre, Apple confirmó que los archivos incluían un exploit de día cero contra iOS y MacOS. Apple ha designado el exploit ForcedEntry CVE-2021-30860, una falla no clasificada que Apple describe como «procesar un PDF creado con fines malintencionados puede conducir a la ejecución de código arbitrario».

Olfateando las pistas de NSO Group

Citizen Lab describió varios elementos distintos que dan a los investigadores una gran confianza en que el exploit puede estar vinculado al fabricante secreto de software espía israelí NSO Group, incluido un artefacto forense llamado CascadeFail.

CascadeFail es un error en el que «la evidencia se elimina de forma incompleta del archivo DataUsage.sqlite del teléfono», según Citizen Lab. En CascadeFail, «se elimina una entrada de la tabla ZPROCESS del archivo, pero no las entradas en la tabla ZLIVEUSAGE a la que hace referencia la entrada ZPROCESS eliminada «, describieron.

Este tiene las huellas dactilares de NSO Group, dijeron, «Solo hemos visto este tipo de eliminación incompleta asociada con el software espía Pegasus de NSO Group y creemos que el error es lo suficientemente distintivo como para señalar a NSO».

Otro signo revelador: varios nombres de procesos instalados por el exploit ForcedEntry, incluido el nombre «setframed». Ese nombre de proceso se usó en un ataque de software espía Pegasus de NSO Group contra un reportero de Al Jazeera en julio de 2020, según Citizen Lab, un detalle que el organismo de control no ha revelado en ese momento.

Los exploits remotos sin hacer clic, como el nuevo método utilizado por el software espía Pegasus para infectar sigilosamente un dispositivo Apple sin el conocimiento de la víctima o la necesidad de la víctima de hacer clic en cualquier cosa, se han utilizado para infectar a una víctima durante hasta seis meses. Son oro puro para gobiernos, mercenarios y criminales que quieren proteger en secreto los dispositivos objetivo sin que los atrapen.

Pegasus es un poderoso software espía: puede encender la cámara y el micrófono de un objetivo para grabar mensajes, SMS, correos electrónicos y llamadas, incluso si se envían a través de una aplicación de mensajería encriptada como Signal.

La historia gastada de Pegaso

NSO ha afirmado durante mucho tiempo que solo vende su software espía a un puñado de comunidades de inteligencia dentro de países que han sido examinados minuciosamente por violaciones de derechos humanos. La compañía ha tratado repetidamente de mantener esa narrativa, adoptando la táctica de cuestionar los métodos y motivaciones de Citizen Lab.

Pero, como señaló Hank Schless, gerente sénior de soluciones de seguridad de la firma de seguridad de punto final a la nube Lookout, la narrativa ahora es bastante deshilachada. «La reciente exposición de 50.000 números de teléfono vinculados a los objetivos de los clientes de NSO Group fue suficiente para ver a través de lo que afirma NSO», dijo a Threatpost el lunes.

«Desde que Lookout y The Citizen Lab descubrieron Pegasus por primera vez en 2016, ha seguido evolucionando y adquiriendo nuevas capacidades», explicó. “Ahora se puede implementar como un exploit sin hacer clic, lo que significa que el usuario objetivo ni siquiera tiene que tocar un enlace malicioso para instalar software de vigilancia.

Si bien el malware ha cambiado sus métodos de entrega, la cadena básica de exploits sigue siendo la misma, continuó Schless. «Pegasus se entrega a través de un enlace malicioso que está diseñado socialmente para el objetivo, la vulnerabilidad se explota y el dispositivo se ve comprometido, luego el malware se comunica a un servidor de comando y control (C2) que le da al atacante el dominio libre en el dispositivo. . Muchas aplicaciones crearán automáticamente una vista previa o un caché de enlaces para mejorar la experiencia del usuario. Pegasus usa esta función para infectar silenciosamente el dispositivo «.

Schless dijo que este es un ejemplo de lo importante que es para las personas y las organizaciones comerciales tener visibilidad de los riesgos que presentan sus dispositivos móviles, Pegasus es solo un «ejemplo extremo, pero fácilmente comprensible».

«Hay un sinnúmero de malware que puede explotar fácilmente las vulnerabilidades conocidas en los dispositivos y el software para acceder a sus datos más sensibles», continuó. “Desde una perspectiva empresarial, excluir los dispositivos móviles de la estrategia de seguridad mejorada puede representar una brecha importante en la capacidad de proteger toda la infraestructura de actores malintencionados. Una vez que el atacante tiene el control de un dispositivo móvil o incluso compromete las credenciales del usuario, tiene acceso libre a toda la infraestructura. Una vez que ingresan a sus aplicaciones en la nube o en las instalaciones, pueden moverse hacia los lados e identificar activos sensibles para cifrarlos para un ataque de ransomware o exfiltrarlos para venderlos al mejor postor «.

Kevin Dunne, presidente del proveedor de orquestación de acceso unificado Pathlock, señaló que las infecciones de Pegasus indican la necesidad de que las empresas vean más allá de proteger los servidores y las estaciones de trabajo como objetivos principales para los ataques cibernéticos y el espionaje. «Los dispositivos móviles ahora se utilizan ampliamente y contienen información confidencial que debe protegerse», explicó.

Para protegerse contra el software espía, las empresas deberían analizar su estrategia de seguridad móvil, dijo Dunne, especialmente cuando las amenazas se presentan en formas mucho más insidiosas que los mensajes SMS sospechosos o los enlaces de phishing que los equipos de seguridad pueden enseñar a los usuarios a evitar.

«Los atacantes de software espía ahora han diseñado ataques sin clic que pueden obtener acceso completo a los datos y el micrófono / cámara de un teléfono utilizando vulnerabilidades en aplicaciones de terceros o incluso aplicaciones integradas», dijo Dunne. «Las organizaciones deben asegurarse de tener control sobre las aplicaciones que los usuarios descargan en sus teléfonos y pueden asegurarse de que están actualizadas para corregir cualquier vulnerabilidad».

Es hora de convertir la caza de amenazas en una búsqueda de adversarios. PALO Threatpost y Cybersixgill para Caza de amenazas para capturar oponentes, no solo para detener ataques y obtenga una visita guiada por la web oscura y aprenda a rastrear a los actores de amenazas antes de su próximo ataque. SUSCRÍBASE AHORA para la discusión EN VIVO el 22 de septiembre a las 2 pm EST con Sumukh Tendulkar y Edan Cohen de Cybersixgill, junto con el investigador de vCISO Chris Roberts y la presentadora de Threatpost Becky Bracken.

.

Puedes compartir en tus redes sociales para que tus amigos lo consulten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *