Exploit Apple Zero-Click iMessage utilisé pour infecter les iPhones avec des logiciels espions

Citizen Lab affirme que deux jours zéro corrigés par Apple aujourd’hui dans les mises à jour de sécurité d’urgence ont été activement abusés dans le cadre d’une chaîne d’exploitation sans clic pour déployer le logiciel espion commercial Pegasus de NSO Group sur des iPhones entièrement corrigés.

Les deux bogues, identifiés comme CVE-2023-41064 et CVE-2023-41061, ont permis aux attaquants d’infecter un iPhone entièrement corrigé exécutant iOS 16.6 et appartenant à une organisation de la société civile basée à Washington DC via des pièces jointes PassKit contenant des images malveillantes.

« Nous appelons la chaîne d’exploit BLASTPASS. La chaîne d’exploit était capable de compromettre les iPhones exécutant la dernière version d’iOS (16.6) sans aucune interaction de la victime », a déclaré Citizen Lab.

« L’exploit impliquait des pièces jointes PassKit contenant des images malveillantes envoyées depuis un compte iMessage d’un attaquant à la victime. »

Citizen Lab a également exhorté les clients Apple à mettre à jour leurs appareils immédiatement et a encouragé ceux qui risquent d’être victimes d’attaques ciblées en raison de leur identité ou de leur profession à activer le mode de verrouillage.

Les chercheurs en sécurité d’Apple et du Citizen Lab ont découvert les deux jours zéro dans les frameworks Image I/O et Wallet.​

We refer to the exploit as BLASTPASS, as it employed a PassKit (Wallet) attachment containing a malicious image, sent via iMessage. When the phone processed the attachment, the exploit hijacked control of Apple's "BlastDoor" framework for iMessage security.

— Bill Marczak (@billmarczak) September 7, 2023

CVE-2023-41064 est un débordement de tampon déclenché lors du traitement d’images conçues de manière malveillante, tandis que CVE-2023-41061 est un problème de validation qui peut être exploité via des pièces jointes malveillantes.

Les deux permettent aux acteurs malveillants d’exécuter du code arbitraire sur des appareils iPhone et iPad non corrigés.

Apple a corrigé les failles de macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 et watchOS 9.6.2 avec une logique et une gestion de la mémoire améliorées.

La liste des appareils concernés comprend :

• iPhone 8 et versions ultérieures
• iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
• Mac exécutant macOS Ventura
• Apple Watch Series 4 et versions ultérieures

Depuis le début de l’année, Apple a corrigé un total de 13 jours zéro exploités pour cibler des appareils exécutant iOS, macOS, iPadOS et watchOS, notamment :

• deux zero-days (CVE-2023-37450 et CVE-2023-38606) en juillet
• trois jours zéro (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439) en juin
• trois autres jours zéro (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
• deux zero-days (CVE-2023-28206 et CVE-2023-28205) en avril
• et un autre WebKit zero-day (CVE-2023-23529) en février