Os hackers da China, apoiados pela Rússia, que realizaram o ataque à cadeia de suprimentos da SolarWinds em 2020 exploraram uma vulnerabilidade do iOS 0 dia para orquestrar uma campanha de e-mail prejudicial destinada a roubar credenciais de autenticação de funcionários do governo. A mesma vulnerabilidade também foi explorada na Microsoft e no Google.
iPhones comprometidos devido à vulnerabilidade de 0 dia explorada por hackers na China
Conforme relatado por Grupo de análise de ameaças do Google (TAG) na quarta-feira, o ataque envolveu explorando uma vulnerabilidade de dia zero, enviando mensagens para funcionários do governo pelo LinkedIn. Para aqueles que não estão familiarizados com as vulnerabilidades de 0 dia, são falhas de software desconhecidas que podem ser exploradas por ataques até serem identificadas e corrigidas.
Vítimas que visitaram o link malicioso de um dispositivo iOS seriam redirecionadas para um invasor-domínio controlado que atendeu às cargas úteis do próximo estágio. Depois que as verificações de validação foram satisfeitas para garantir que o dispositivo que está sendo explorado era um dispositivo real, a carga útil final seria servida para explorar o CVE-2021-1879.
De acordo com o Google, a vulnerabilidade foi desativada Same-Origin-Proteções de política em um esforço para coletar cookies de autenticação de muitos sites populares, incluindo Google, Microsoft, LinkedIn, Facebook e Yahoo. O exploit então enviou essas informações para um IP controlado por um invasor via WebSocket. Esse tipo de ataque não afeta navegadores com isolamento de site, como Chrome ou Firefox.
A vítima precisaria ter uma sessão aberta nesses sites do Safari para que os cookies fossem exfiltrados com êxito. Não houve escape de sandbox ou implante entregue por meio desse exploit. O exploit tinha como alvo as versões 12.4 a 13.7 do iOS.
Embora o Google não tenha identificado o grupo de hackers que conduziu o ataque, ele disse que o exploit coincidiu com uma campanha do mesmo grupo visando o Windows e Google. CVE-2021-21166 foi descoberto em fevereiro de 2021 durante a execução do Chrome 88.0.4323.182 e CVE-2021-30551 foi descoberto em junho de 2021 durante a execução do Chrome 91.0.4472.77.
Ambos os dias 0 foram explorados como Links únicos enviados por e-mail para as vítimas, todas as quais o Google acredita que estavam na Armênia. Os links levaram a domínios controlados por invasores que imitaram sites autênticos relacionados aos usuários-alvo. Quando uma vítima clicava no link malicioso, ela era redirecionada para uma página da Web que pegaria suas impressões digitais, coletaria informações do sistema e muito mais. Esses dados-que incluíam resolução de tela, fuso horário, idiomas, plug-ins de navegador e tipos MIME disponíveis-seriam enviados de volta ao servidor de exploração e os invasores decidiriam se uma exploração deveria ou não ser entregue ao alvo.
De acordo com a Apple, CVE-2021-1879 foi corrigido no iOS 12.5.2, iOS 14.4.2 , iPadOS 14.4.2 e watchOS 7.3.3. A gigante da tecnologia corrigiu a falha em março.
