El equipo de investigación de ZecOps hizo públicas el 20 de Abril dos vulnerabilidades que afectan a la aplicación de Mail en iOS y iPadOS, que permitirían el acceso remoto a los correos almacenados en la app.
ZecOps encontró varios eventos sospechosos que afectaban a la aplicación por defecto de Mail en iOS, que databan de Enero del 2018. El equipo de DFIR (Digital Forensics and Incident Response) descubrió estos fallos al registrar varios desencadenantes de la explotación de esta vulnerabilidad en usuarios empresariales, VIP y MSSP (proveedores de servicios de seguridad gestionada) por un tiempo prolongado.
Img 1 Resumen del fallo www..zecops.com
¿Cómo se genera el ataque?
Como ZecOps define en su comunicado, “el alcance del ataque consiste en enviar un correo electrónico especialmente diseñado al buzón de correo de la víctima, lo que permite activar la vulnerabilidad en el contexto de la aplicación iOS MobileMail, en iOS 12, o mail en iOS 13”. El equipo de Investigación y Threat Intelligence suponen con gran confianza que las vulnerabilidades, sobre todo la de heap overflow remoto, están siendo ampliamente explotadas en internet por operadores de amenazas avanzadas. La vulnerabilidad no requiere de un correo electrónico largo, pues con un correo electrónico regular que es capaz de consumir poca cantidad de RAM sería suficiente.
La vulnerabilidad es 0 clic, por lo que no requiere interacción directa del usuario, solo con tener la aplicación en segundo plano o al abrir la aplicación, permitiría a un atacante acceder, modificar o eliminar correos electrónicos dentro de la aplicación de Mail. Este fallo se activa antes de descargar todo el correo electrónico, por lo que no es necesario que el contenido del correo electrónico permanezca en el dispositivo.
¿Cuáles serían los objetivos de estos ataques?
La empresa tiene sospecha que entre los objetivos de estos ataques estarían: Personas de una organización Fortune 500 en EEUU, un ejecutivo en Japón, un VIP en Alemania, MSSP de Arabia Saudita e Israel, un periodista en Japón y sospechan que un ejecutivo de una empresa en Suiza.
Algo importante que destacar
Se determinaron varios eventos sospechosos entre los que incluían strings comúnmente utilizados como son 414141…4141, permitiendo pensar que podría ser un ejercicio de red team. Después de confirmar que no se trataba de un red team, el equipo de ZecOps validó que estos strings si fueron proporcionados por el remitente del correo electrónico. Existe un punto importante a destacar de todo esto, y es que a pesar de que los confirmaban que los correos electrónicos de explotación si fueron recibidos y procesados por los dispositivos iOS de las víctimas, no se encontraron los correos electrónicos correspondientes que debieron recibirse y almacenarse en el servidor de correo. Por lo que, ellos deducen que estos correos electrónicos pudieron haber sido eliminados internacionalmente como “parte de las medidas de limpieza de seguridad operativa del ataque”.
Img 2 Como se veia un ataque fallido con aprovechando estas vulnerabilidades www..zecops.com
Versiones afectadas
Durante la investigación se han realizados varias pruebas y se conoce que todas las versiones iOS son vulnerables, incluida la versión actual de iOS, la 13.4.1.
Las versiones de iOS 6 y superiores son vulnerables; cabe recalcar que iOS 6 fue lanzada en el año 2012 y el iPhone 5 estaba en el mercado. Versiones anteriores a iOS 6 podrían ser vulnerables, pero no han verificado con versiones anteriores.
Parches
Apple ha parchado estas dos vulnerabilidades en la versión de iOS 13.4.5 que se encuentra en beta. Por lo que para mitigar estos fallos podría utilizar la última versión beta.
Img 3 Parche en iOS 13.4.5 que corrige las 2 vulnerabilidades www..zecops.com
Soluciones alternativas
Si la opción de utilizar la versión beta no es posible, debería considerar en desactivas la aplicación de Mail y utilizar la aplicación Outlook o Gmail, que a priori, no son vulnerables.
Espero que lo disfruten. ¡Saludos!
Más info en: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
Más info en: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
No hay comentarios:
Publicar un comentario