Архив метки: Apple

Свежие EoP в Linux и RCE у Apple устройств

Свежие EoP в Linux и RCE у Apple устройств

Свежие EoP в Linux и RCE у Apple устройств.

EoP в Linux Kernel с 6.1 по 6.4 (CVE-2023-3269, StackRot). Непривилегированный локальный пользователь может использовать эту уязвимость для компрометации ядра и повышения своих привилегий. Полный код эксплоита и подробное описание будут опубликованы не позднее конца июля.

RCE у Apple устройств (CVE-2023-37450). Активно эксплуатируется. Находится в WebKit (движок Safari и всех веб-браузеров на iOS и iPadOS) и триггерится при обработке специально созданного (вредоносного) веб-контента. Обновления для macOS Ventura 13.4.1, Safari 16.5.2 в macOS Big Sur/Monterey, iOS/iPadOS 16.5.1.

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция.

CVE-2023-32434 - "An app may be able to execute arbitrary code with kernel privilege"

CVE-2023-32435 - WebKit "Processing web content may lead to arbitrary code execution"

Исправления пришли в версиях iOS/iPadOS 16.5.1 и 15.7.7.

Получается 20 дней потребовалось на выпуск фикса. Можно констатировать, что какого-то нового закручивания гаек в отношение устройств Apple за эти 20 дней также не произошло.

Я за это время имел несколько бесед с безопасниками из разных компаний, которые используют устройства Apple (основной вопрос к устройствам на macOS). Поразительное дело. Все согласны с тем, что устройства Apple это "идеальное убежище для шпионских программ" и обеспечивать безопасность таких устройств куда сложнее, чем устройств под Linux и Windows. В том числе и в плане Vulnerability Management-а. Но как только дело доходит до "готов ли ты лично отказаться от устройств Apple? (хотя бы корпоративных)" ответ один "нет, ты что, я привык, они такие классные и удобные". 🤷‍♂️ Если с безопасниками такая история, то что уж говорить о простых обывателях. Пока не будет каких-то прямых запретительных мер, из корпоративных инфраструктур устройства Apple никуда не денутся. А физики от них не откажутся вообще никогда. Даже если Apple начнет эти устройства брикать, всё равно всеми правдами и неправдами будут стараться продолжить пользоваться. В удивительную зависимость люди попадают.

Про Apple Vision Pro

Про Apple Vision Pro

Про Apple Vision Pro. Я периодически возвращаюсь к концепции "мира без тайн". Что если всё что видит и слышит человек будет постоянно фиксироваться и сохраняться? Что если это станет абсолютной нормой, а отсутствие записи за какой-то промежуток времени будет считаться основанием для подозрений? Что если делать такие записи общедоступными также станет нормой?

С одной стороны, это идеальный инструмент для тотального контроля. С другой стороны, круто ведь "помнить" всё и иметь возможность это просмотреть/прослушать в любой момент. Или, например, в какой-то спорной ситуации предъявить доказательства своей правоты. Видео-регистраторы у американских полицейских это давно реальность. Только обычных людей так просто не заставишь носить подобные камеры. А окружающие куда менее толерантны к тому, что их снимает не защитник правопорядка, а произвольный Вася.

Это традиционное, инстинктивное понимание privacy пока ещё сдерживает развитие "мира без тайн". Пока маркетологи американского бигтеха не внушат обывателю, что носить на голове постоянно включенные камеры это нормально и прогрессивно. Как и попадать в их объективы. У Google с их Glass в 2013-ом не получилось. Получится ли через 10 лет у Apple с их… Очками для дайвинга и батарейкой на верёвочке? 😅 В текущем виде вряд ли. Но не всё сразу. Если у кого и получится сделать подобные устройства мейнстримом, так это будут Apple с их супер-податливой фанбазой.

Что в итоге делать с Триангуляцией?

Что в итоге делать с Триангуляцией?

Что в итоге делать с Триангуляцией? Имхо, это зависит от вашего отношения к утверждению, что Apple намеренно добавили уязвимость в iMessage.

1. Если это действительно так, то Apple это откровенно враждебный вендор и от всех их продуктов нужно планомерно и оперативно избавляться. Не только от айфонов, но и от mac-ов и т.д. Начиная, естественно с наиболее критичных мест.

2. Если же у вас есть основания полагать, что Apple здесь ни при чём, то тогда действуем как в любом кейсе с малварями. Мониторим подключения к C&C, проверяем iOS устройства с помощью утилиты от Kaspersky, если заражены, то вайпаем их, iMessage от греха отключаем, ждём и форсим обновления Apple, сотрудникам выдаём общие рекомендации по кибергигиене.

У меня нет оснований не доверять тому, что было написано в пресс-релизе. Поэтому я, в целом, за первый вариант. Но, конечно же, хотелось бы видеть прямую рекомендацию от регуляторов. В бюллетене НКЦКИ такой рекомендации пока не было.

Здесь в ТГ у нас связь односторонняя, а в ВКшечке комменты открытые и там иногда кипят страсти

Здесь в ТГ у нас связь односторонняя, а в ВКшечке комменты открытые и там иногда кипят страсти

Здесь в ТГ у нас связь односторонняя, а в ВКшечке комменты открытые и там иногда кипят страсти. 🙂 Я в друзьяшки аппрувлю всех, кто на реальных людей похож, добавляйтесь! Если вдруг кому-то тоже интересно какой у меня телефон, то вот. С ним один раз были проблемки, но вообще всем пока устраивает. Хотя хотелось бы смартфон для физиков на Авроре, ROSA MOBILE или мобильной KasperskyOS. Ну или хотя бы на российском AOSP от VK, Сбера и Яндекса. Ждем.

Согласен с Алексеем Лукацким, что если бы не было реакции со стороны государства на кейс с малварью для iPhone, инфоповод был бы меньше. НО реакция есть! Можно к этому относиться как "ах, наговаривают наверное на вендора, докажите, что Apple намеренно эту уязвимость добавили", а можно поприветствовать какие-то практические шаги по девестернизации российского IT. Я о необходимости девестернизации с самого первого поста в этом ТГ канале пишу, поэтому позиция у меня здесь вполне очевидная. 🙂

Upd. У него iPhone.

Евгений Касперский аргументирует почему Apple iPhone зло в русскоязычном посте про Triangulation

Евгений Касперский аргументирует почему Apple iPhone зло в русскоязычном посте про Triangulation.

"Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является «черным ящиком», в котором годами могут скрываться шпионские программы подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создает для шпионских программ идеальное убежище. Иными словами, как я уже не раз говорил, у пользователей создаётся иллюзия безопасности, связанная с полной непрозрачностью системы. Что на самом деле происходит в iOS, специалистам по IT-безопасности неизвестно. Отсутствие новостей об атаках отнюдь не свидетельствует о невозможности самих атак — в чем мы только что убедились."

И как бы это всё правильно. И здорово, что KUMA зараженные устройства продетектила. Но вопрос в том, а как так получилось, что сотрудники Kaspersky, в значительной части специалисты по ИБ, пользуются на работе iOS устройствами? Теми самыми, которые представляют "идеальное убежище для шпионских программ". Может вводить требования, чтобы устройства Apple не тащили в корпоративный wifi, не использовали их для работы, а ТОПы возможно не использовали их вовсе?

PS: Это, конечно очень чувствительная и непопулярная тема, понимаю. Даже в этом канале, на который далеко не случайные люди подписаны, где-то больше трети с айфонами. 🙂
PPS: НКЦКИ в своём бюллетене связали утренний пресс-релиз и "операцию триангуляцию", так что можно считать это одним кейсом.

И вот сегодня же Kaspersky выпускают пост "Операция «Триангуляция»: iOS-устройства атакованы ранее неизвестным вредоносным ПО"

И вот сегодня же Kaspersky выпускают пост Операция «Триангуляция»: iOS-устройства атакованы ранее неизвестным вредоносным ПО

И вот сегодня же Kaspersky выпускают пост "Операция «Триангуляция»: iOS-устройства атакованы ранее неизвестным вредоносным ПО".

Компрометацию тоже по трафику нашли:

"При мониторинге сетевого трафика собственной корпоративной сети Wi-Fi, выделенной для мобильных устройств, с помощью Kaspersky Unified Monitoring and Analysis Platform (KUMA) мы заметили подозрительную активность, исходившую от нескольких телефонов на базе iOS."

Раскопали это:

"…мы смогли определить конкретные артефакты, указывающие на компрометацию. Это позволило продвинуть исследование вперед и реконструировать общую последовательность заражения:

- Целевое устройство iOS получает сообщение через службу iMessage с вложением, содержащим эксплойт.
- Без какого-либо взаимодействия с пользователем сообщение триггерит уязвимость, которая приводит к выполнению кода.
…"

В статье есть список C&C доменов для мониторинга.

Случайное совпадение с тем, что было в пресс-релизе? Не думаю. 🙂