Un zero-day permite hackear iPhones simplemente enviando correos electrónicos
La empresa de ciberseguridad ZecOps encontró dos vulnerabilidades de día cero (zero-day) que afectan a los dispositivos iPhone y iPad. Esto surge después del descubrimiento de una serie de ataques remotos que se han dirigido a usuarios de iOS desde al menos enero de 2018.
“El alcance del ataque consiste en enviar un correo electrónico especialmente diseñado al buzón de la víctima que te permite activar la vulnerabilidad. Esta se activa en el contexto de la aplicación iOS MobileMail en iOS 12 o maild en iOS 13”, dijeron los investigadores de ZecOps.
Las fallas de seguridad que se pueden explotar son dos: Una Out-of-bounds Write (OOB Write) y una Remote Heap Overflow. Estas permiten a los atacantes ejecutar código remoto en los dispositivos iPhone y iPad comprometidos y así acceder, filtrar, editar y eliminar correos electrónicos.
“La vulnerabilidad adicional del kernel proporcionaría acceso completo al dispositivo; sospechamos que estos atacantes tenían otra vulnerabilidad”, explicó ZecOps.
Hackers de algún estado nación detrás de ataques en curso
Los investigadores descubrieron los ataques remotos luego de una investigación rutinaria de forense digital y respuesta a incidentes (DFIR) de iOS. Estos ataques apuntaban contra usuarios de iOS 11.2.2 a través de la aplicación de correo predeterminada.
Las señales iniciales apuntaban a ataques que llegaron hasta enero de 2018, pero es posible que el zero-day se haya utilizado en ataques incluso antes.
“Creemos que estos ataques son correlativos con al menos un operador de amenaza de estado-nación o un estado-nación compró el exploit a un investigador externo. Quizás lo compraron en un grado de Prueba de Concepto (PoC) y lo usaron ‘tal cual’ o con modificaciones menores”, dijo ZecOps.
ZecOps detectó múltiples ataques altamente dirigidos que explotan estos días cero de iOS, incluidos:
- Individuos de la organización Fortune 500 en América del Norte
- Un ejecutivo de una aerolínea en Japón
- Un VIP de Alemania
- También un MSSP de Arabia Saudita e Israel
- Un periodista en Europa
- Sospechoso: Un ejecutivo de una empresa suiza
Aunque ZecOps no quería atribuir los ataques a un actor de amenaza específico, los investigadores dijeron que conocen que al menos una organización. Esta organización “vende exploits utilizando vulnerabilidades que aprovechan las direcciones de correo electrónico como identificador principal”.
Todos los dispositivos con iOS 6 y versiones posteriores son vulnerables
Todos los iPhones y iPad iOS 6 o superior, incluida la última versión iOS 13.4.1, son vulnerables a los ataques. Empero, los dispositivos iOS que ejecutan incluso versiones anteriores también podrían estar expuestos dado que ZecOps dejó de probar después de iOS 6.
En iOS 13, la explotación de las vulnerabilidades no requiere la interacción del usuario. Por otra parte, en iOS 12 los usuarios deben hacer clic en el correo electrónico para que su iPhone o iPad sea hackeado.
Los atacantes también pueden tratar de explotar el problema de seguridad varias veces sin signos aparentes en iOS 13 además de una desaceleración temporal. Mientras que en iOS 12 la aplicación de correo se bloqueará repentinamente.
Si los ataques fallan, los objetivos no verán señales en iOS 13. Por otro lado, en los correos electrónicos iOS 12 aparecerán en la bandeja de entrada mensajes de “Este mensaje no tiene contenido”
Si no puedes aplicar parches a esta versión, asegúrate de no usar la aplicación de correo. En su lugar, puedes usar temporalmente Outlook o Gmail que, al momento de escribir esto, no resultaron vulnerables”, aconseja ZecOps.
“Con datos muy limitados pudimos ver que al menos seis organizaciones se vieron afectadas por esta vulnerabilidad. El alcance total del abuso de esta vulnerabilidad es enorme. Confiamos en que se debe proporcionar un parche para tales problemas con los desencadenantes públicos lo antes posible”.
Apple ya ha incluido un parche para los días cero en iOS 13.4.5 beta 2 lanzado el 15 de abril. Además, una solución de seguridad estará disponible para los usuarios de versiones estables de iOS pronto.
Zero- days de iOS
Las vulnerabilidades de día cero (también conocido como 0-days o zero-day) son errores de seguridad desconocidos o aún no corregidos por el proveedor. Estas fallas exponen los dispositivos que ejecutan el software vulnerable o utilizan el hardware vulnerable a los ataques.
Los días cero de iOS descubiertos por ZecOps no son los primeros que Apple ha tenido que parchar hasta ahora. Dos explotados activamente que se han parcheado en iOS 12.1.4. Asimismo, otros que recibieron correcciones después de ser explotados en la naturaleza como parte de cinco cadenas de explotación de escalada de privilegios.
La plataforma de adquisición de exploits de día cero Zerodium redujo los pagos para los días cero de iOS en septiembre de 2019. Por ejemplo, exploits de cadena completa de Apple iOS (1 clic) con persistencia que se redujo a $1,000,000 de $1,500,000. Mientras que exploits iMessage RCE + LPE (1-Click) sin persistencia obtuvieron un precio reducido de $500,000 con respecto al anterior de $1,000,000.
El CEO de Zerodium, Chaouki Bekrar, dijo que “en los últimos meses, hemos observado un aumento en la cantidad de exploits de iOS. Hemos observado principalmente cadenas de Safari e iMessage, desarrolladas y vendidas por investigadores de todo el mundo. El día cero el mercado está tan inundado por las vulnerabilidades de iOS que recientemente comenzamos a rechazar algunas [de] ellas”.