蘋(píng)果用戶應(yīng)該立即更新他們的所有設(shè)備——iPhone,、iPad,、Mac和AppleWatch——以安裝一個(gè)緊急補(bǔ)丁,,防止以色列公司NSO利用iMessage中的漏洞感染設(shè)備,。
蘋(píng)果公司周一推出的安全更新包括適用于iPhone和iPad的iOS14.8,,以及適用于Apple Watch和macOS的緊急更新,。這些補(bǔ)丁將將修復(fù)至少一個(gè)它所說(shuō)的“可能已被積極利用”的漏洞,。
Citizen Lab上個(gè)月首次發(fā)現(xiàn)了前所未見(jiàn)的零點(diǎn)擊漏洞,并檢測(cè)到該漏洞的目標(biāo)是iMessage,。據(jù)網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)稱,,該漏洞被用于利用通過(guò)NSO公司開(kāi)發(fā)的Pegasus間諜軟件非法監(jiān)視巴林活動(dòng)家。
Citizen Lab將這種特殊的漏洞稱為ForcedEntry,,因?yàn)樗軌蚶@過(guò)Apple的BlastDoor保護(hù),。
Citizen Lab在8月表示,他們已經(jīng)確定了9名巴林活動(dòng)家,,他們的iPhone在2020年6月至2021年2月期間受到了Pegasus間諜軟件的影響,。一些活動(dòng)家的手機(jī)遭受了零點(diǎn)擊iMessage攻擊,除了ForcedEntry之外,,還包括2020KISMET漏洞利用,。
這些活動(dòng)家包括Waad的三名成員、巴林人權(quán)中心的三名成員,、兩名流亡的巴林持不同政見(jiàn)者和AlWefaq(巴林什葉派政治社團(tuán))的一名成員,。
ForcedEntry漏洞特別引人注目,因?yàn)樗晒Σ渴鸬阶钚碌膇OS版本14.4和14.6,,繞過(guò)Apple的BlastDoor保護(hù),,在巴林激進(jìn)分子的iPhone上安裝了間諜軟件。
Citizen Lab于2021年2月首次觀察到NSO Group部署了ForcedEntry,。Apple剛剛推出了BlastDoor,,這是iOS14中的一項(xiàng)結(jié)構(gòu)改進(jìn),旨在阻止基于消息的零點(diǎn)擊漏洞利用,,例如前一個(gè)月的NSO Group相關(guān)攻擊,。
BlastDoor應(yīng)該通過(guò)充當(dāng)Google Project Zero的Samuel Gro?所說(shuō)的“嚴(yán)密沙盒”服務(wù)來(lái)防止這種類型的Pegasus攻擊,該服務(wù)負(fù)責(zé)幾乎所有iMessages中不受信任數(shù)據(jù)的解析,。
在周一的一篇帖子中,,Citizen Lab的研究人員表示,2021年3月,,他們檢查了一位要求匿名的沙特活動(dòng)家的電話,,并確定該電話已感染了NSO集團(tuán)的Pegasus間諜軟件。上周二,,也就是9月7日,,Citizen Lab轉(zhuǎn)發(fā)了另一部感染Pegasus的手機(jī)上發(fā)生的兩種類型崩潰的artifact,懷疑這兩種感染都顯示了ForcedEntry漏洞利用鏈的一部分。
Citizen Lab于9月7日星期二將這些artifact轉(zhuǎn)發(fā)給蘋(píng)果公司,。9月13日,,星期一,蘋(píng)果公司確認(rèn)這些文件包含針對(duì)iOS和MacOS的0day漏洞利用,。Apple已指定ForcedEntry漏洞正式名稱為CVE-2021-30860:一個(gè)尚未評(píng)級(jí)的漏洞,,Apple將該漏洞描述為“處理惡意制作的PDF可能導(dǎo)致任意代碼執(zhí)行”。
嗅探NSO公司的蹤跡
Citizen Lab列出了幾個(gè)不同的因素,,這些因素使研究人員高度相信,,該漏洞可以與以色列秘密間諜軟件制造商N(yùn)SO Group相關(guān)聯(lián),其中包括一個(gè)名為CascadeFail的forensic artifact,。
根據(jù)Citizen Lab的說(shuō)法,,CascadeFail是一個(gè)bug,“證據(jù)未完全從手機(jī)的DataUsage.sqlite文件中刪除”,。在CascadeFail中,,“文件的ZPROCESS表中的條目被刪除,但ZLIVEUSAGE表中引用已刪除ZPROCESS條目的條目不會(huì)被刪除,?!?/p>
他們說(shuō),這有NSO Group特有的標(biāo)志:“我們只見(jiàn)過(guò)這種與NSO Group的Pegasus間諜軟件相關(guān)的不完整刪除,,我們相信該漏洞的獨(dú)特性足以指向NSO,。”
另一個(gè)明顯的跡象:ForcedEntry漏洞安裝的多個(gè)進(jìn)程名稱,,包括“setframed”,。根據(jù)Citizen Lab的說(shuō)法,該進(jìn)程名稱在2020年7月用NSO集團(tuán)的Pegasus間諜軟件攻擊半島電視臺(tái)記者時(shí)被使用:監(jiān)管機(jī)構(gòu)沒(méi)有更多透露當(dāng)時(shí)的細(xì)節(jié),。
零點(diǎn)擊遠(yuǎn)程漏洞利用,,例如Pegasus間諜軟件在受害者不知情或根本不需要點(diǎn)擊任何東西的情況下隱形感染Apple設(shè)備的新穎方法,被用來(lái)感染一名受害者長(zhǎng)達(dá)六個(gè)月之久,。對(duì)于想要秘密監(jiān)視目標(biāo)設(shè)備而不被發(fā)現(xiàn)的政府,、雇傭軍和罪犯來(lái)說(shuō),這簡(jiǎn)直太完美了,。
Pegasus是一個(gè)強(qiáng)大的間諜軟件:它可以打開(kāi)目標(biāo)的攝像頭和麥克風(fēng),,以便記錄消息、文本,、電子郵件和電話,,即使它們是通過(guò)Signal等加密消息應(yīng)用程序發(fā)送的。
關(guān)于Pegasus的陳詞濫調(diào)
NSO長(zhǎng)期以來(lái)一直堅(jiān)稱,,它只將其間諜軟件出售給少數(shù)經(jīng)過(guò)全面審查侵犯人權(quán)行為的國(guó)家內(nèi)的情報(bào)機(jī)構(gòu),。該公司試圖質(zhì)疑Citizen Lab的方法和動(dòng)機(jī),,一再保持這種說(shuō)法。
但是,,正如端點(diǎn)到云安全公司Lookout的安全解決方案高級(jí)經(jīng)理HankSchless所指出的那樣,,這種說(shuō)法現(xiàn)在已經(jīng)相當(dāng)老套了?!白罱毓獾?萬(wàn)個(gè)與NSO集團(tuán)客戶目標(biāo)相關(guān)的電話號(hào)碼,,使得所有人都看透了實(shí)際的情況?!?/p>
“自從Lookout和公民實(shí)驗(yàn)室于2016年首次發(fā)現(xiàn)Pegasus以來(lái),它一直在不斷發(fā)展,,并具有了新的功能,。”“它現(xiàn)在可以作為零點(diǎn)擊漏洞進(jìn)行部署,,這意味著目標(biāo)用戶甚至不必點(diǎn)擊惡意鏈接即可安裝監(jiān)控軟件,。”
Schless繼續(xù)說(shuō),,雖然惡意軟件已經(jīng)調(diào)整了它的傳播方法,,但基本的漏洞利用鏈保持不變?!癙egasus是通過(guò)針對(duì)目標(biāo)進(jìn)行社會(huì)工程的惡意鏈接傳播的,,漏洞被利用,設(shè)備遭到破壞,,然后惡意軟件會(huì)返回給命令和控制(C2)服務(wù)器,,讓攻擊者可以自由控制設(shè)備。許多應(yīng)用程序會(huì)自動(dòng)創(chuàng)建鏈接預(yù)覽或緩存,,以改善用戶體驗(yàn),。Pegasus利用此功能以靜默感染設(shè)備?!?/p>
Schless說(shuō),,這是一個(gè)例子,說(shuō)明個(gè)人和企業(yè)組織了解其移動(dòng)設(shè)備存在的風(fēng)險(xiǎn)是多么重要,,Pegasus只是一個(gè)“極端但易于理解的例子”,。
“有無(wú)數(shù)的惡意軟件可以輕松利用已知的設(shè)備和軟件漏洞來(lái)訪問(wèn)您最敏感的數(shù)據(jù)?!薄皬钠髽I(yè)的角度來(lái)看,,將移動(dòng)設(shè)備排除在更大的安全策略之外可能造成保護(hù)整個(gè)基礎(chǔ)設(shè)施免受惡意行為者攻擊的能力上的重大差距。一旦攻擊者控制了移動(dòng)設(shè)備,,甚至泄露了用戶的憑據(jù),,他們就可以自由訪問(wèn)您的整個(gè)基礎(chǔ)設(shè)施,。一旦他們進(jìn)入您的云或本地應(yīng)用程序,他們就可以橫向移動(dòng)并識(shí)別敏感資產(chǎn)從而進(jìn)行加密以進(jìn)行勒索軟件攻擊或是泄露給出高價(jià)的購(gòu)買(mǎi)者,?!?/p>
統(tǒng)一訪問(wèn)編排提供商Pathlock的總裁凱文·鄧恩(KevinDunne)指出,Pegasus感染表明企業(yè)需要超越將服務(wù)器和工作站作為網(wǎng)絡(luò)攻擊和間諜活動(dòng)的主要目標(biāo)的想法,?!耙苿?dòng)設(shè)備現(xiàn)在被廣泛使用,并且包含需要保護(hù)的敏感信息,?!?/p>
鄧恩說(shuō),為了保護(hù)自己免受間諜軟件的侵害,,企業(yè)應(yīng)該審視他們的移動(dòng)設(shè)備安全策略,,尤其是當(dāng)威脅以遠(yuǎn)比安全團(tuán)隊(duì)培訓(xùn)用戶所防御的可疑SMS消息或釣魚(yú)鏈接更陰險(xiǎn)的形式出現(xiàn)時(shí)。
“間諜軟件攻擊者現(xiàn)在設(shè)計(jì)了零點(diǎn)擊攻擊,,能夠通過(guò)使用第三方應(yīng)用程序甚至內(nèi)置應(yīng)用程序中的漏洞來(lái)完全訪問(wèn)手機(jī)的數(shù)據(jù)和麥克風(fēng)/攝像頭,。”“組織需要確保他們能夠控制用戶下載到手機(jī)上的應(yīng)用程序,,并確保這些應(yīng)用程序是最新的,,以便修補(bǔ)任何漏洞?!?/p>