Het Duitse federale cybersecurity-agentschap heeft een waarschuwing uitgestuurd waarin het alle iOS-gebruikers aanspoort om de nieuwste beveiligingsupdates van Apple te installeren. Deze updates moeten twee zero-click kwetsbaarheden aanpakken van de standaard Mail-app.
De kwetsbaarheden werden voor het eerst ontdekt door het Amerikaanse beveiligingsbedrijf ZecOps, dat erachter kwam dat deze kwetsbaarheden actief werden uitgebuit bij aanvallen op iOS-gebruikers sinds ten minste januari 2018. Apple heeft de beveiligingslekken erkend, alhoewel het bedrijf zegt dat het "geen bewijs heeft gevonden dat ze tegen klanten zijn gebruikt".
Het BSI (Bundesamt für Sicherheit in der Informationstechnik) benadrukte in zijn waarschuwing het belang van het onmiddellijk installeren van de updates:
- Microsoft wil iedereen op Outlook
- Via Slack videobellen met Microsoft Teams
- Beste videoconferentie software
"Apple heeft beveiligingsupdates uitgebracht met iOS 12.4.7, iOS 13.5 en iPadOS 13.5 die de kwetsbaarheden van alle betrokken iOS-versies verhelpen. Vanwege het kritieke karakter van de kwetsbaarheden beveelt het BSI aan om de betreffende beveiligingsupdate onmiddellijk op alle betrokken systemen te installeren.
No-click kwetsbaarheden
Allebei de beveiligingskwetsbaarheden in Apple's Mail-applicatie zijn no-click kwetsbaarheden. Deze zijn het resultaat van een geheugenconsumptieprobleem en kunnen getriggerd worden wanneer de app een malicieus bericht probeert te verwerken. De eerste kwetsbaarheid, getraceerd als CVE-2020-9819, kan tot geheugenbeschadiging leiden, terwijl de twee kwetsbaarheid, CVE-2020-9818, kan leiden tot onverwachte geheugenmodificatie of app-terminatie.
Gelukkig heeft Apple de problemen opgelost in iOS 13.5 en iPadOS 13.5. Deze verbeteren het omgaan met het geheugen en de controles. De kwetsbaarheden kunnen mensen in het bezit van een iPhone 6S of nieuwer raken, iPad Air 2 en nieuwer, iPad Mini 4 en nieuwer, en de iPod Touch 7e generatie, zo valt te lezen in de notities van Apple.
In een blogpost legt ZecOps uit hoe kwaadwillenden deze kwetsbaarheden precies gebruikten:
"Wij zijn van mening dat deze aanvallen correlatief zijn met ten minste één natiestaatdreigingsexploitant of een natiestaat die de exploitatie heeft gekocht van een derde onderzoeker in een Proof of Concept (POC)-graad en deze precies zo of met kleine aanpassingen heeft gebruikt (vandaar de 4141..41 strings). Hoewel ZecOps deze aanvallen niet toeschrijft aan een specifieke dreigingsactor, zijn we ons ervan bewust dat ten minste één 'hackers-for-hire' organisatie exploits verkoopt met behulp van kwetsbaarheden die gebruik maken van e-mailadressen als hoofdidentificatie.
Hoewel met name bekende en belangrijke personen het doelwit vaak zijn, raden we iedereen aan om zo snel mogelijk te updaten.
Via BleepingComputer
