A Apple divulgou recentemente atualizações de emergência para corrigir três novas vulnerabilidades zero-day que estavam sendo exploradas em ataques mirando usuários de iPhone e Mac. No total, a empresa já corrigiu 16 falhas zero-day desde o início deste ano.
Duas das vulnerabilidades foram encontradas no mecanismo de navegação WebKit (CVE-2023-41993) e na estrutura de Segurança (CVE-2023-41991), permitindo que invasores contornassem a validação de assinatura usando aplicativos maliciosos ou ganhassem execução de código arbitrário por meio de páginas da web maliciosamente elaboradas.
A terceira foi localizada no Kernel Framework, que fornece APIs e suporte para extensões de kernel e drivers de dispositivo residentes no kernel. Invasores locais podem explorar essa falha (CVE-2023-41992) para elevar privilégios.
A Apple corrigiu as três vulnerabilidades zero-day no macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 e watchOS 9.6.3/10.0.1 ao endereçar uma questão de validação de certificado e por meio de verificações aprimoradas.
“A Apple está ciente de um relatório de que essa questão pode ter sido ativamente explorada contra versões do iOS antes do iOS 16.7”, revelou a empresa em consultorias de segurança descrevendo as falhas.
A lista de dispositivos afetados abrange modelos mais antigos e mais novos, e inclui:
- iPhone 8 e posteriores
- iPad mini de 5a geração e posteriores
- Macs rodando macOS Monterey e mais recentes
- Apple Watch Series 4 e posteriores
As três vulnerabilidades zero-day foram encontradas e relatadas por Bill Marczak, do Citizen Lab da Universidade de Toronto, e Maddie Stone, do Google Threat Analysis Group.
Embora a Apple ainda não tenha fornecido detalhes adicionais sobre a exploração das falhas em ambientes reais, pesquisadores de segurança do Citizen Lab e do Google Threat Analysis Group frequentemente divulgam bugs zero-day abusados em ataques de spyware direcionados a indivíduos de alto risco, incluindo jornalistas, políticos da oposição e dissidentes.
O Citizen Lab divulgou outras duas vulnerabilidades zero-day (CVE-2023-41061 e CVE-2023-41064), também corrigidas pela Apple em atualizações de segurança de emergência no início deste mês, que foram exploradas como parte de uma cadeia de exploração zero-click (apelidada de BLASTPASS) para infectar iPhones totalmente atualizados com o spyware comercial Pegasus do Grupo NSO.
Desde o início do ano, a Apple também corrigiu:
- duas vulnerabilidades zero-day (CVE-2023-37450 e CVE-2023-38606) em julho
- três vulnerabilidades zero-day (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho
- mais três vulnerabilidades zero-day (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio
- duas vulnerabilidades zero-day (CVE-2023-28206 e CVE-2023-28205) em abril
- e outra vulnerabilidade zero-day WebKit (CVE-2023-23529) em fevereiro
Essas correções de emergência da Apple destacam a importância de manter dispositivos e sistemas sempre atualizados com as últimas versões de segurança. Vulnerabilidades zero-day são altamente valiosas para invasores e espionagem direcionada, então é essencial não deixar portas abertas para exploração.
Além disso, a detecção precoce e a resposta rápida a incidentes de segurança dependem muito de priorizar as vulnerabilidades com base no risco. O gerenciamento de vulnerabilidades baseado em risco (RBVM) é uma abordagem estratégica para identificar e mitigar riscos de segurança, ao avaliar continuamente o impacto potencial de cada vulnerabilidade.
Com novas ameaças surgindo diariamente, o RBVM proativo fornece inteligência em tempo real para proteger melhor contra vulnerabilidades críticas, como essas novas zero-days da Apple.
Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui
