Apple发布紧急更新，修复“零点击”高危漏洞

苹果用户应该立即更新他们的所有设备——iPhone、iPad、Mac和AppleWatch——以安装一个紧急补丁，防止以色列公司NSO利用iMessage中的漏洞感染设备。

苹果公司周一推出的安全更新包括适用于iPhone和iPad的iOS14.8，以及适用于Apple Watch和macOS的紧急更新。这些补丁将将修复至少一个它所说的“可能已被积极利用”的漏洞。

Citizen Lab上个月首次发现了前所未见的零点击漏洞，并检测到该漏洞的目标是iMessage。据网络安全监管机构称，该漏洞被用于利用通过NSO公司开发的Pegasus间谍软件非法监视巴林活动家。

Citizen Lab将这种特殊的漏洞称为ForcedEntry，因为它能够绕过Apple的BlastDoor保护。

Citizen Lab在8月表示，他们已经确定了9名巴林活动家，他们的iPhone在2020年6月至2021年2月期间受到了Pegasus间谍软件的影响。一些活动家的手机遭受了零点击iMessage攻击，除了ForcedEntry之外，还包括2020KISMET漏洞利用。

这些活动家包括Waad的三名成员、巴林人权中心的三名成员、两名流亡的巴林持不同政见者和AlWefaq(巴林什叶派政治社团)的一名成员。

ForcedEntry漏洞特别引人注目，因为它成功部署到最新的iOS版本14.4和14.6，绕过Apple的BlastDoor保护，在巴林激进分子的iPhone上安装了间谍软件。

Citizen Lab于2021年2月首次观察到NSO Group部署了ForcedEntry。Apple刚刚推出了BlastDoor，这是iOS14中的一项结构改进，旨在阻止基于消息的零点击漏洞利用，例如前一个月的NSO Group相关攻击。

BlastDoor应该通过充当Google Project Zero的Samuel Groß所说的“严密沙盒”服务来防止这种类型的Pegasus攻击，该服务负责几乎所有iMessages中不受信任数据的解析。

在周一的一篇帖子中，Citizen Lab的研究人员表示，2021年3月，他们检查了一位要求匿名的沙特活动家的电话，并确定该电话已感染了NSO集团的Pegasus间谍软件。上周二，也就是9月7日，Citizen Lab转发了另一部感染Pegasus的手机上发生的两种类型崩溃的artifact，怀疑这两种感染都显示了ForcedEntry漏洞利用链的一部分。

Citizen Lab于9月7日星期二将这些artifact转发给苹果公司。9月13日，星期一，苹果公司确认这些文件包含针对iOS和MacOS的0day漏洞利用。Apple已指定ForcedEntry漏洞正式名称为CVE-2021-30860：一个尚未评级的漏洞，Apple将该漏洞描述为“处理恶意制作的PDF可能导致任意代码执行”。

嗅探NSO公司的踪迹

Citizen Lab列出了几个不同的因素，这些因素使研究人员高度相信，该漏洞可以与以色列秘密间谍软件制造商NSO Group相关联，其中包括一个名为CascadeFail的forensic artifact。

根据Citizen Lab的说法，CascadeFail是一个bug，“证据未完全从手机的DataUsage.sqlite文件中删除”。在CascadeFail中，“文件的ZPROCESS表中的条目被删除，但ZLIVEUSAGE表中引用已删除ZPROCESS条目的条目不会被删除。”

他们说，这有NSO Group特有的标志：“我们只见过这种与NSO Group的Pegasus间谍软件相关的不完整删除，我们相信该漏洞的独特性足以指向NSO。”

另一个明显的迹象：ForcedEntry漏洞安装的多个进程名称，包括“setframed”。根据Citizen Lab的说法，该进程名称在2020年7月用NSO集团的Pegasus间谍软件攻击半岛电视台记者时被使用：监管机构没有更多透露当时的细节。

零点击远程漏洞利用，例如Pegasus间谍软件在受害者不知情或根本不需要点击任何东西的情况下隐形感染Apple设备的新颖方法，被用来感染一名受害者长达六个月之久。对于想要秘密监视目标设备而不被发现的政府、雇佣军和罪犯来说，这简直太完美了。

Pegasus是一个强大的间谍软件：它可以打开目标的摄像头和麦克风，以便记录消息、文本、电子邮件和电话，即使它们是通过Signal等加密消息应用程序发送的。

关于Pegasus的陈词滥调

NSO长期以来一直坚称，它只将其间谍软件出售给少数经过全面审查侵犯人权行为的国家内的情报机构。该公司试图质疑Citizen Lab的方法和动机，一再保持这种说法。

但是，正如端点到云安全公司Lookout的安全解决方案高级经理HankSchless所指出的那样，这种说法现在已经相当老套了。“最近曝光的5万个与NSO集团客户目标相关的电话号码，使得所有人都看透了实际的情况。”

“自从Lookout和公民实验室于2016年首次发现Pegasus以来，它一直在不断发展，并具有了新的功能。”“它现在可以作为零点击漏洞进行部署，这意味着目标用户甚至不必点击恶意链接即可安装监控软件。”

Schless继续说，虽然恶意软件已经调整了它的传播方法，但基本的漏洞利用链保持不变。“Pegasus是通过针对目标进行社会工程的恶意链接传播的，漏洞被利用，设备遭到破坏，然后恶意软件会返回给命令和控制(C2)服务器，让攻击者可以自由控制设备。许多应用程序会自动创建链接预览或缓存，以改善用户体验。Pegasus利用此功能以静默感染设备。”

Schless说，这是一个例子，说明个人和企业组织了解其移动设备存在的风险是多么重要，Pegasus只是一个“极端但易于理解的例子”。

“有无数的恶意软件可以轻松利用已知的设备和软件漏洞来访问您最敏感的数据。”“从企业的角度来看，将移动设备排除在更大的安全策略之外可能造成保护整个基础设施免受恶意行为者攻击的能力上的重大差距。一旦攻击者控制了移动设备，甚至泄露了用户的凭据，他们就可以自由访问您的整个基础设施。一旦他们进入您的云或本地应用程序，他们就可以横向移动并识别敏感资产从而进行加密以进行勒索软件攻击或是泄露给出高价的购买者。”

统一访问编排提供商Pathlock的总裁凯文·邓恩(KevinDunne)指出，Pegasus感染表明企业需要超越将服务器和工作站作为网络攻击和间谍活动的主要目标的想法。“移动设备现在被广泛使用，并且包含需要保护的敏感信息。”

邓恩说，为了保护自己免受间谍软件的侵害，企业应该审视他们的移动设备安全策略，尤其是当威胁以远比安全团队培训用户所防御的可疑SMS消息或钓鱼链接更阴险的形式出现时。

“间谍软件攻击者现在设计了零点击攻击，能够通过使用第三方应用程序甚至内置应用程序中的漏洞来完全访问手机的数据和麦克风/摄像头。”“组织需要确保他们能够控制用户下载到手机上的应用程序，并确保这些应用程序是最新的，以便修补任何漏洞。”

本文翻译自：https://threatpost.com/apple-emergency-fix-nso-zero-click-zero-day/169416/如若转载，请注明原文地址。