ūüėé 60% Descuento:  Curso de Hacking Redes Inal√°mbricas >> Ver M√°s

Revelan zero day de Apple utilizado para instalar Pegasus

Los usuarios de Apple deben actualizar de inmediato todos sus dispositivos iPhones, iPads, Mac y Apple Watches. La actualización es necesaria para instalar un parche de emergencia para un día cero zero-click explotado por NSO Group para instalar el spyware Pegasus.

Las actualizaciones de seguridad, lanzadas por Apple el lunes, incluyen iOS 14.8 para iPhones y iPads, as√≠ como nuevas actualizaciones para Apple Watch y macOS. Los parches solucionar√°n al menos una vulnerabilidad que, seg√ļn el gigante tecnol√≥gico, “puede haber sido explotada activamente“.

Citizen Lab descubri√≥ por primera vez el exploit de zero-click (cero clic) nunca antes visto, que detect√≥ dirigido a iMessaging, el mes pasado. Supuestamente se ha utilizado para espiar ilegalmente a activistas de Bahrein con el spyware Pegasus de NSO Group.

 ForcedEntry

Los investigadores han identificado al nuevo exploit de iMessaging como ForcedEntry.

Citizen Group dijo en agosto que hab√≠an identificado a nueve activistas de Bahrein cuyos iPhones fueron infligidos con Pegasus entre junio de 2020 y febrero de 2021. Algunos de los tel√©fonos de los activistas sufrieron ataques de iMessage cero clic que, adem√°s de ForcedEntry, tambi√©n inclu√≠an el exploit 2020 KISMET.

Los activistas inclu√≠an a tres miembros de Waad (una sociedad pol√≠tica laica de Bahr√©in) y tres miembros del Centro de Derechos Humanos de Bahr√©in. Asimismo, dos disidentes de Bahr√©in exiliados y un miembro de Al Wefaq (una sociedad pol√≠tica chi√≠ta de Bahr√©in).

Evasión de BlastDoor

El exploit ForcedEntry fue particularmente notable porque se implement√≥ con √©xito contra las √ļltimas versiones de iOS, 14.4 y 14.6. Es decir, evadi√≥ la nueva funci√≥n de sandboxing BlastDoor de Apple para instalar spyware en los iPhones de los activistas de Bahrein.

Citizen Lab observ√≥ por primera vez a NSO Group implementando ForcedEntry en febrero de 2021. Apple acababa de presentar BlastDoor, una mejora estructural en iOS 14 destinada a bloquear exploits basados ‚Äč‚Äčen mensajes y zero-click, como estos ataques asociados con NSO Group, el mes anterior. Se supon√≠a que BlastDoor evitar√≠a este tipo de ataques de Pegasus actuando como lo que Samuel Gro√ü de Google Project Zero llam√≥ un servicio “estrictamente aislado”. BlastDoor es el responsable de “casi todo” el an√°lisis de datos no confiables en iMessages.

Hace un par de d√≠as, los investigadores de Citizen Lab dijeron que, en marzo de 2021 examinaron el tel√©fono de un activista saud√≠ que solicit√≥ el anonimato. A partir de este an√°lisis determinaron que el tel√©fono hab√≠a sido infectado con el spyware Pegasus. El martes 7 de septiembre, Citizen Lab envi√≥ artefactos de dos tipos de fallas en otro tel√©fono que hab√≠a sido infectado con Pegasus. Los investigadores sospechan que ambas infecciones mostraban partes de la cadena de exploits ForcedEntry.

Citizen Lab envi√≥ los artefactos a Apple el martes 7 de septiembre. El lunes 13 de septiembre, Apple confirm√≥ que los archivos inclu√≠an un exploit de d√≠a cero contra iOS y MacOS. Apple ha identificado el exploit ForcedEntry como CVE-2021-30860. Una vulnerabilidad a√ļn sin clasificar que Apple describe como “el procesamiento un PDF creado con fines malintencionados puede conducir a la ejecuci√≥n de c√≥digo arbitrario”.

Siguiendo las pistas de NSO Group

Citizen Lab describió varios elementos distintos que brindan a los investigadores una gran confianza en que el exploit puede vincularse al fabricante israelí de spyware NSO Group. Esto incluye un artefacto forense llamado CascadeFail.

CascadeFail es un error por el cual “la evidencia se elimina de forma incompleta del archivo DataUsage.sqlite del tel√©fono”. En CascadeFail, “se elimina una entrada de la tabla ZPROCESS del archivo, pero no las entradas en la tabla ZLIVEUSAGE. Estas hacen referencia a la entrada ZPROCESS eliminada”,

Todo eso tiene el fingerprints de NSO Group.  Solo hemos visto este tipo de eliminaci√≥n incompleta asociada con el spyware, y creemos que el error es lo suficientemente distintivo como para se√Īalar a NSO.

Otro signo revelador: varios nombres de procesos instalados por el exploit ForcedEntry, incluido el nombre “setframed”. Ese nombre de proceso se us√≥ en un ataque con Pegasus a un periodista de Al Jazeera en julio de 2020.

Las vulnerabilidades remotas de cero clics, como el m√©todo novedoso utilizado por Pegasus para infectar de forma invisible un dispositivo Apple sin el conocimiento de la v√≠ctima o la necesidad de que la v√≠ctima haga clic en cualquier cosa, se utilizaron para infectar a una v√≠ctima durante hasta seis meses. Son oro puro para gobiernos, mercenarios y criminales que quieren vigilar en secreto los dispositivos de los objetivos sin ser detectados.

Pegasus es un poderoso spyware: puede encender la c√°mara y el micr√≥fono de un objetivo para grabar mensajes, textos, correos electr√≥nicos y llamadas. Puede realizar estas acciones incluso si se env√≠an a trav√©s de aplicaciones de mensajer√≠a cifradas como Signal.

Narrativa trillada de Pegasus

NSO ha sostenido durante mucho tiempo que solo vende su spyware a un grupo de comunidades de inteligencia dentro de pa√≠ses que investigan terroristas y peligrosos delincuentes. La compa√Ī√≠a ha tratado repetidamente de mantener esa narrativa ante el cuestionamiento de la venta de su software para espionaje ilegal.

Empero, como se√Īal√≥ Hank Schless, gerente s√©nior de soluciones de seguridad en la empresa de seguridad Lookout, la narrativa ahora est√° bastante gastada. “La exposici√≥n reciente de 50,000 n√ļmeros de tel√©fono vinculados a objetivos de clientes de NSO Group era todo lo que la gente necesitaba para ver bien lo que afirma NSO‚ÄĚ.

Desde que Lookout y The Citizen Lab descubrieron Pegasus por primera vez en 2016, ha seguido evolucionando y adquiriendo nuevas capacidades. ‚ÄúAhora se puede implementar como un exploit cero clic. Esto significa que el usuario objetivo ni siquiera tiene que tocar un enlace malicioso para instalar el software de vigilancia.

Si bien el malware ha ajustado sus m√©todos de difusi√≥n, la cadena b√°sica de exploits sigue siendo la misma. Pegasus se env√≠a a trav√©s de un enlace malicioso que ha sido dise√Īado socialmente para el objetivo. Este explota la vulnerabilidad y el dispositivo se ve comprometido, luego el malware se comunica de vuelta a un servidor de comando y control (C2). El servidor le da al atacante el control total sobre el dispositivo. Muchas aplicaciones crear√°n autom√°ticamente una vista previa o un cach√© de enlaces para mejorar la experiencia del usuario. Pegasus aprovecha esta funcionalidad para infectar silenciosamente el dispositivo.

Este es un ejemplo de lo importante que es para los individuos y las organizaciones tener visibilidad de los riesgos que presentan sus dispositivos m√≥viles. Pegasus solo un ‚Äúejemplo extremo‚ÄĚ, pero f√°cilmente comprensible.

Otro malware al acecho

Existen innumerables tipos de malware que pueden explotar f√°cilmente las vulnerabilidades conocidas de dispositivos y software para obtener acceso a sus datos m√°s confidenciales. 

‚ÄúDesde una perspectiva empresarial, dejar los dispositivos m√≥viles fuera de la estrategia de seguridad general puede representar una brecha importante en la capacidad de proteger toda la infraestructura de ciberdelincuentes. Una vez que el atacante tiene el control de un dispositivo m√≥vil o incluso compromete las credenciales del usuario, tiene acceso total a toda la infraestructura. Una vez que ingresan a la nube o aplicaciones locales, pueden moverse lateralmente e identificar activos sensibles para cifrarlos para un ataque de ransomware. Tambi√©n pueden exfiltrarlos para venderlos al mejor postor.

Las infecciones de Pegasus apuntan a la necesidad de que las empresas vean m√°s all√° de proteger servidores y estaciones de trabajo como objetivos principales de ciberataques y espionaje. Los dispositivos m√≥viles ahora se utilizan ampliamente y contienen informaci√≥n confidencial que debe protegerse.

Para protegerse contra el spyware, las empresas deberían considerar la estrategia de seguridad de sus dispositivos móviles. Especialmente cuando las amenazas se presentan en formas mucho más insidiosas que los mensajes SMS sospechosos o los enlaces de suplantación de identidad.

Los atacantes de spyware ahora han dise√Īado ataques zero-click que pueden obtener acceso completo a los datos y el micr√≥fono/c√°mara de un tel√©fono. Los atacantes logran su objetivo mediante el uso de vulnerabilidades en aplicaciones de terceros o incluso aplicaciones integradas. 

En conclusión, las organizaciones deben asegurarse de tener control sobre las aplicaciones que los usuarios descargan en sus teléfonos. Y, además, deben asegurarse de que estén actualizadas para que se corrijan las vulnerabilidades.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información