Des chercheurs en sécurité du Citizen Lab et du Threat Analysis Group (TAG) de Google ont révélé aujourd’hui que trois failles Zero Day corrigées par Apple jeudi avaient été utilisées de manière abusive dans le cadre d’une chaîne d’exploitation visant à installer le logiciel espion Predator de Cytrox.

Entre mai et septembre 2023, les attaquants ont exploité les bogues (CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) lors d’attaques utilisant des SMS et des messages WhatsApp leurres pour cibler l’ancien député égyptien Ahmed Eltantawy après avoir annoncé son intention de rejoindre l’élection présidentielle égyptienne en 2024.

« En août et septembre 2023, la connexion mobile Vodafone Egypt d’Eltantawy a été sélectionnée de manière persistante pour le ciblage via l’injection réseau », Laboratoire citoyen.

« Lorsqu’Eltantawy visitait certains sites Web n’utilisant pas HTTPS, un appareil installé à la frontière du réseau de Vodafone Egypt le redirigeait automatiquement vers un site Web malveillant pour infecter son téléphone avec le logiciel espion Predator de Cytrox. »

Sur les appareils iOS, l’exploit Zero Day des attaquants a utilisé CVE-2023-41993 pour l’exécution initiale de code à distance (RCE) dans Safari à l’aide de pages Web conçues de manière malveillante, le bug CVE-2023-41991 pour contourner la validation de signature et CVE-2023-41993. 41992 pour l’élévation des privilèges du noyau.

La chaîne d’exploitation s’est déclenchée automatiquement après la redirection, déployant et exécutant un binaire malveillant conçu pour choisir si l’implant du logiciel espion doit être installé sur l’appareil compromis.

Chrome Zero Day est également utilisé pour installer des logiciels espions

Google TAG a également observé que les attaquants utilisaient une chaîne d’exploitation distincte pour déposer le logiciel espion Predator sur les appareils Android en Égypte, exploitant ainsi CVE-2023-4762—un bug de Chrome corrigé le 5 septembre—en tant que jour zéro pour obtenir l’exécution de code à distance.

« Ce bug avait déjà été signalé séparément au programme Chrome Vulnerability Rewards par un chercheur en sécurité et a été corrigé le 5 septembre. Nous estimons qu’Intellexa utilisait également auparavant cette vulnérabilité comme un jour 0 », Maddie Stone de Google TAG a déclaré :.

Équipe d’ingénierie et d’architecture de sécurité d’Apple confirmé aujourd’hui que le mode de verrouillage iOS aurait bloqué l’attaque.

Citizen Lab a exhorté tous les utilisateurs Apple à risque à installer les mises à jour de sécurité d’urgence d’Apple et à activer le mode de verrouillage pour contrecarrer les attaques potentielles exploitant cette chaîne d’exploitation.

« Étant donné que l’Égypte est un client connu du logiciel espion Predator de Cytrox et que le logiciel espion a été diffusé via une injection réseau à partir d’un appareil situé physiquement en Égypte, nous attribuons avec une grande confiance l’attaque par injection réseau au gouvernement égyptien », a ajouté Citizen Lab.

Les chercheurs en sécurité du Citizen Lab ont révélé deux autres failles zéro jour (CVE-2023-41061 et CVE-2023-41064) – corrigées par Apple dans des mises à jour de sécurité d’urgence plus tôt ce mois-ci – utilisées de manière abusive dans le cadre d’une autre chaîne d’exploitation sans clic (appelée BLASTPASS) pour infecter les iPhones entièrement corrigés avec le logiciel espion Pegasus de NSO Group.

16 failles Zero Day d’Apple exploitées lors d’attaques cette année

Apple a corrigé jeudi les trois jours zéro dans iOS 16.7 et 17.0.1 en résolvant un problème de validation de certificat et en améliorant les contrôles.

La liste complète des appareils concernés comprend un large éventail de modèles d’appareils plus anciens et plus récents :

• iPhone 8 et versions ultérieures
• iPad mini 5e génération et versions ultérieures
• Mac exécutant macOS Monterey et versions ultérieures
• Apple Watch Series 4 et versions ultérieures

Depuis janvier 2023, Apple a traité un total de 16 failles Zero Day exploitées dans le cadre d’attaques ciblant ses clients, notamment :