Apple a corrigé trois nouvelles vulnérabilités zero-day exploitées dans des attaques installant des logiciels espions de triangulation sur les iPhones via des exploits iMessage sans clic.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre des versions d’iOS publiées avant iOS 15.7 », indique la société en décrivant les vulnérabilités du noyau et de WebKit suivies comme CVE-2023-32434 et CVE-2023-32435.

Les deux failles de sécurité ont été découvertes et signalées par les chercheurs en sécurité de Kaspersky Georgy Kucherin, Leonid Bezvershenko et Boris Larin.

Kaspersky a également publié un rapport plus tôt dans la journée avec des détails supplémentaires sur un composant de logiciel espion iOS utilisé dans une campagne que la société de cybersécurité suit sous le nom d' »Opération Triangulation ».

« L’implant, que nous avons surnommé TriangleDB, est déployé après que les attaquants ont obtenu les privilèges root sur l’appareil iOS cible en exploitant une vulnérabilité du noyau. Il est déployé en mémoire, ce qui signifie que toutes les traces de l’implant sont perdues lorsque l’appareil est redémarré. » Kaspersky a déclaré aujourd’hui.

« Ainsi, si la victime redémarre son appareil, les attaquants doivent le réinfecter en envoyant un iMessage avec une pièce jointe malveillante, relançant ainsi toute la chaîne d’exploitation. En cas de non-redémarrage, l’implant se désinstalle au bout de 30 jours, sauf si ce délai est prolongé par les attaquants. »

Utilisé par les pirates de l’État américain selon les revendications du FSB
Les attaques ont commencé en 2019 et sont toujours en cours, selon Kaspersky, qui a signalé début juin que certains iPhones de son réseau étaient infectés par des logiciels espions jusque-là inconnus via des exploits iMessage zero-click qui exploitaient les bogues iOS zero-day.

Kaspersky a déclaré à Breachtrace que l’attaque avait touché son bureau de Moscou et ses employés dans d’autres pays.

L’agence russe de renseignement et de sécurité du FSB a également affirmé après la publication du rapport de Kaspersky qu’Apple avait fourni à la NSA une porte dérobée pour aider à infecter les iPhones en Russie avec des logiciels espions.

Le FSB a affirmé avoir trouvé des milliers d’iPhone infectés appartenant à des responsables du gouvernement russe et au personnel des ambassades en Israël, en Chine et dans les pays membres de l’OTAN.

« Nous n’avons jamais travaillé avec un gouvernement pour insérer une porte dérobée dans un produit Apple et nous ne le ferons jamais », a déclaré un porte-parole d’Apple à Breachtrace.

Apple a également corrigé aujourd’hui une vulnérabilité WebKit zero-day (CVE-2023-32439) signalée par un chercheur anonyme qui peut permettre aux attaquants d’obtenir l’exécution de code arbitraire sur des appareils non corrigés en exploitant un problème de confusion de type.

La société a abordé les trois jours zéro dans macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, iOS 16.5.1 et iPadOS 16.5.1, iOS 15.7.7 et iPadOS 15.7.7, watchOS 9.5 .2 et watchOS 8.8.1 avec des vérifications, une validation des entrées et une gestion des états améliorées.

La liste des appareils concernés est assez longue, car le jour zéro affecte les modèles plus anciens et plus récents, et comprend :

  • iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 5e génération et versions ultérieures
  • iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération) et iPod touch (7e génération)
  • Mac exécutant macOS Big Sur, Monterey et Ventura
  • Apple Watch Series 4 et versions ultérieures, Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 et SE

Neuf zero-days patchés depuis le début de l’année
Depuis le début de l’année, Apple a corrigé un total de 9 vulnérabilités zero-day qui ont été exploitées dans la nature pour compromettre les iPhones, les Mac et les iPad.

Le mois dernier, la société a corrigé trois autres cas zéro (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373), le premier signalé par les chercheurs de Google Threat Analysis Group et d’Amnesty International Security Lab et probablement utilisé pour installer des logiciels espions commerciaux.

En avril, Apple a corrigé deux autres failles zero-day (CVE-2023-28206 et CVE-2023-28205) déployées dans le cadre de chaînes d’exploitation des failles zero-day et n-day d’Android, iOS et Chrome, et abusées pour déployer des logiciels espions mercenaires sur des appareils appartenant à des cibles à haut risque dans le monde entier.

En février, Apple a abordé un autre WebKit zero-day (CVE-2023-23529) exploité dans des attaques pour obtenir l’exécution de code sur des iPhone, iPad et Mac vulnérables.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *