Apple Memperbaiki Bug Zero-Click iMessage yang Digunakan untuk Menyebarkan Spyware Pegasus

  • Whatsapp
Apple Memperbaiki Bug Zero-Click iMessage yang Digunakan untuk Menyebarkan Spyware Pegasus
Apple Memperbaiki Bug Zero Click iMessage yang Digunakan untuk Menyebarkan Spyware
Apple Memperbaiki Bug Zero-Click iMessage yang Digunakan untuk Menyebarkan Spyware NSO Pegasus

Baru-baru ini, Apple telah menerbitkan pembaruan keamanan untuk iPhone, iPad, Mac, dan Apple Watch, yang membahas sejumlah kerentanan zero-day, dan juga salah satunya digunakan untuk melewati pertahanan OS.

Perusahaan memperkuat CVE-2021-30858 di WebKit, kerentanan eksploit pasca-rilis yang memungkinkan eksekusi kode jarak jauh saat memproses semua jenis konten web berbahaya.

Di sisi lain, ada kerentanan kedua “CVE-2021-30860” yang memengaruhi elemen CoreGraphics dan dapat digunakan untuk mengelola kode dari jarak jauh sambil menyiapkan dokumen PDF berbahaya.

Eksploitasi Nol-Klik NSO Sebelumnya

Menurut laporan list, FORCEDENTRY adalah salah satu yang terbaru dalam serangkaian eksploitasi tanpa klik yang ditautkan ke NSO Group. Selain itu, pada tahun 2019, WhatsApp akhirnya memperbaiki CVE-2019-3568, kerentanan tanpa klik dalam panggilan WhatsApp yang diterapkan NSO Group terhadap lebih dari 1400 ponsel dalam jangka waktu dua minggu.

Namun, pada tahun 2020, NSO Group menyewa eksploitasi iMessage zero-click KISMET, tetapi diklaim bahwa kerentanan KISMET tidak pernah dikenali, meskipun kami berasumsi bahwa kerentanan yang mendasarinya tidak dapat lagi dieksploitasi melalui iMessage.

Muatan

Para peneliti keamanan siber telah menyatakan beberapa muatan kerentanan ini:-

  • Ada 27 salinan file yang sama dengan ekstensi “.gif”. Dan setelah penyelidikan, diketahui bahwa file tersebut adalah file Adobe PSD 748-byte. Dan setiap file membuat IMTranscoderAgent crash pada perangkat.
  • Ini juga terdiri dari empat file berbeda termasuk ekstensi “.gif” yang merupakan file Adobe PDF termasuk aliran yang disandikan JBIG2. Dan di antara mereka, Dua file memiliki nama 34 karakter, dan dua memiliki nama 97 karakter.
  • Terakhir, output dari alat pdfid pada keempat file “.gif” ini adalah NB: stream memiliki panjang yang berbeda.

Kerentanan

Secara total ada dua kerentanan yang terdeteksi oleh pakar keamanan CISA dan di sini disebutkan di bawah ini: –

Penemuan dan Pengungkapan

Setelah menyelidiki kerentanan, para analis menegaskan bahwa mereka telah menemukan bahwa format file telah cocok dengan dua jenis kerusakan.

Itu diamati oleh para ahli di telepon lain, dan saat mengamati itu diretas dengan Pegasus, dan mereka curiga bahwa file “.gif” mungkin berisi bagian dari rantai eksploitasi FORCEDENTRY.

Di sini, para peneliti keamanan telah menamai eksploitasi FORCEDENTRY CVE-2021-30860, dan mendefinisikannya sebagai pemrosesan PDF yang dibuat dengan jahat yang dapat menyebabkan eksekusi kode arbitrer.

Atribusi ke Grup NSO

Pada penyelidikan yang tepat, mereka mengidentifikasi dan menegaskan bahwa mereka telah mencatat berbagai elemen khas yang memungkinkan mereka untuk membuat atribusi kepercayaan tinggi untuk NSO Group:-

  • Awalnya, spyware yang diinstal oleh eksploitasi FORCEDENTRY menghadirkan artefak forensik yang diberi nama CASCADEFAIL. Ini adalah bug dan semua buktinya tidak sepenuhnya dihapus dari file use.sqlite data ponsel.
  • Selain itu, spyware yang dipasang oleh eksploitasi FORCEDENTRY mempraktekkan nama proses yang berbeda, yang juga menyertakan nama “setframed”. Namun, nama proses khusus ini dipraktikkan dalam inisiatif dengan spyware Pegasus NSO Group pada reporter Al Jazeera pada Juli 2020.

Rekomendasi CISA

Terlepas dari ini, analis keamanan di CISA mendorong pengguna dan administrator untuk segera memeriksa dan menerapkan pembaruan keamanan yang baru dirilis untuk produk berikut:-

Selain itu, mereka mencoba yang terbaik untuk menghindari serangan semacam ini, tetapi rantai eksploitasi yang sebenarnya dimulai ketika korban menerima pesan teks dengan gambar GIF yang berbahaya.

Selama penyelidikan, telah dibersihkan bahwa file ini benar-benar dokumen Adobe PSD dan PDF yang membuat elemen rendering otomatis tidak berfungsi dan memengaruhi perangkat dengan malware Pegasus.

Ikuti kami di Linkedin, Indonesia, Facebook untuk Berita & Pembaruan Cybersecurity harian

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.