La scorsa settimana, il Threat Analysis Group (TAG) di Google, in collaborazione con The Citizen Lab, ha scoperto una catena di exploit 0-day in-the-wild per iPhone. Sviluppata dal fornitore di sorveglianza commerciale Intellexa, questa catena di exploit viene utilizzata per installare in modo subdolo il suo spyware Predator su un dispositivo. In risposta, Apple ha prontamente corretto i bug in iOS 16.7 e iOS 17.0.1 come CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993. Si consiglia a tutti gli utenti iOS di installare questi aggiornamenti il prima possibile.
Consegna dell’exploit tramite attacco Man-in-the-Middle (MITM)
La catena di exploit di Intellexa è stata consegnata tramite un attacco “man-in-the-middle” (MITM). Se il bersaglio visita un sito web utilizzando ‘http’, l’attaccante può intercettare il traffico e inviare dati falsi al bersaglio per indirizzarlo verso un sito diverso. Nel caso di questa campagna, se il bersaglio accedeva a qualsiasi sito ‘http’, gli aggressori iniettavano traffico per reindirizzarli silenziosamente a un sito Intellexa, c.betly[.]me. Se l’utente era l’utente bersaglio previsto, il sito avrebbe poi reindirizzato il bersaglio al server di exploit, sec-flare[.]com.
Catena di exploit iOS
Non appena l’attaccante ha reindirizzato il bersaglio al proprio server di exploit, la catena di exploit ha iniziato ad eseguirsi. Per iOS, questa catena includeva tre vulnerabilità:
- CVE-2023-41993: Esecuzione remota del codice iniziale (RCE) in Safari
- CVE-2023-41991: Bypass PAC
- CVE-2023-41992: Escalation di privilegi locali (LPE) nel Kernel XNU
Catena di exploit Android
L’attaccante aveva anche una catena di exploit per installare Predator sui dispositivi Android in Egitto. TAG ha osservato questi exploit consegnati in due modi diversi: l’iniezione MITM e tramite link one-time inviati direttamente al bersaglio. Siamo stati in grado di ottenere solo la vulnerabilità iniziale di esecuzione remota del codice renderer per Chrome, che sfruttava CVE-2023-4762.
Protezione di Chrome contro gli attacchi MITM
Chrome ha lavorato per anni per l’adozione universale di HTTPS su tutto il web. Inoltre, Chrome ha una modalità “HTTPS-First” che può ridurre la probabilità che gli exploit vengano consegnati tramite iniezione di rete MITM.
Questa campagna è un altro esempio degli abusi causati dalla proliferazione dei fornitori di sorveglianza commerciale e del loro grave rischio per la sicurezza degli utenti online. TAG continuerà a prendere provvedimenti contro e a pubblicare ricerche sull’industria dello spyware commerciale.