Neue Zero-Day Schwachstellen in Apple und Chrome ausgenutzt bei Spionageangriffen

Die Angreifer haben zwischen Mai und September 2023 die Schwachstellen (CVE-2023-41991, CVE-2023-41992 und CVE-2023-41993) ausgenutzt und dabei Lockvogel-SMS und WhatsApp-Nachrichten verwendet, um den früheren ägyptischen Abgeordneten Ahmed Eltantawy anzugreifen. Eltantawy hatte angekündigt, sich bei der ägyptischen Präsidentschaftswahl 2024 aufzustellen.

Citizen Lab erklärte: "Im August und September 2023 wurde Eltantawys mobiler Vodafone-Ägypten-Anschluss mit Netzwerkinjektionen angegriffen. Wenn Eltantawy bestimmte Websites ohne HTTPS besuchte, leitete ein Gerät, das an der Grenze des Vodafone-Ägypten-Netzwerks installiert war, ihn automatisch auf eine bösartige Website weiter, um sein Smartphone mit der Spyware Cytrox's Predator zu infizieren."

Auf iOS-Geräten hat der Zero-Day-Angriff der Angreifer CVE-2023-41993 genutzt, um remote Code Execution (RCE) in Safari über bösartig präparierte Webseiten zu erlangen, die Schwachstelle CVE-2023-41991 wurde verwendet, um die Signaturvalidierung zu umgehen, und CVE-2023-41992 diente der Erhöhung der Kernel-Privilegien.

Die Exploit-Kette wurde automatisch nach der Weiterleitung ausgelöst und hat eine bösartige Binärdatei bereitgestellt und ausgeführt. Diese hat entschieden, ob das Spyware-Implantat auf dem kompromittierten Gerät installiert wird.

Auch ein Chrome-Zero-Day wurde genutzt, um Spyware zu installieren. Das TAG-Team von Google hat festgestellt, dass die Angreifer eine separate Exploit-Kette verwendet haben, um die Predator-Spyware auf Android-Geräten in Ägypten zu installieren. Dabei wurde CVE-2023-4762 ausgenutzt, ein Chrome-Bug, der am 5. September gepatcht wurde, um remote Code Execution zu erreichen.

Das Sicherheitsteam von Apple hat bestätigt, dass der Lockdown-Modus von iOS den Angriff blockiert hätte.

Citizen Lab hat alle gefährdeten Apple-Nutzer dazu aufgefordert, die Sicherheitsupdates von Apple zu installieren und den Lockdown-Modus zu aktivieren, um potenzielle Angriffe mit dieser Exploit-Kette zu vereiteln.

"Da Ägypten ein bekannter Kunde von Cytrox's Predator-Spyware ist und die Spyware über Netzwerkinjektionen von einem physisch in Ägypten befindlichen Gerät ausgeliefert wurde, attribuieren wir den Netzwerkinjektionsangriff mit hoher Zuversicht der ägyptischen Regierung", fügte Citizen Lab hinzu.

Citizen Lab hat außerdem zwei weitere Zero-Days (CVE-2023-41061 und CVE-2023-41064) offengelegt, die von Apple in früheren Sicherheitsupdates behoben wurden und Teil einer weiteren Zero-Click-Exploit-Kette namens BLASTPASS waren, um vollständig gepatchte iPhones mit der Spyware Pegasus der NSO Group zu infizieren.

Apple hat die drei Zero-Days am Donnerstag in den Versionen iOS 16.7 und 17.0.1 behoben, indem ein Zertifikatsvalidierungsproblem behoben und verbesserte Checks eingeführt wurden.

Die Liste der betroffenen Geräte umfasst eine Vielzahl von älteren und neueren Modellen:

• iPhone 8 und neuer
• iPad mini 5. Generation und neuer
• Macs mit macOS Monterey und neuer
• Apple Watch Series 4 und neuer

Seit Januar 2023 hat Apple insgesamt 16 Zero-Days behoben, die in Angriffen auf seine Kunden genutzt wurden. Darunter:

• zwei Zero-Days (CVE-2023-37450 und CVE-2023-38606) im Juli
• drei Zero-Days (CVE-2023-32434, CVE-2023-32435 und CVE-2023-32439) im Juni
• weitere drei Zero-Days (CVE-2023-32409, CVE-2023-28204 und CVE-2023-32373) im Mai
• zwei Zero-Days (CVE-2023-28206 und CVE-2023-28205) im April
• und ein weiterer WebKit-Zero-Day (CVE-2023-23529) im Februar.