„GitHub“ buvo paskelbta naujesnė „DarkSword“ išnaudojimo versija, todėl kodas yra prieinamas visiems, turintiems pagrindinių prieglobos žinių. Pesquisadores saugos pareigūnai perspėja, kad HTML ir „JavaScript“ failai leidžia greitai atakuoti „iPhone“ ir „iPad“, kuriuose veikia senesnės „iOS“ ir „iPadOS“ versijos. Viešas atskleidimas padidina duomenų vagystės arba tiesioginio įrenginių, kurie dar negavo naujausių Apple pataisymų, pavojų. Especialistas rodo, kad išnaudojimai veikia iš karto, nereikalaujant pažangių Apple sistemų žinių.
Grupo iš Inteligência iš Ameaças iš Google, kartu su iVerify ir Lookout, praėjusią savaitę iš pradžių detalizavo “DarkSword” išnaudojimo grandinę. Essa įrankis sujungia keletą pažeidžiamumų, kad pakenktų įrenginiams, kuriuose veikia 18.4 ir 18.7 versijos iOS. Atakose išnaudojami WebKit ir kitų komponentų trūkumai, leidžiantys vykdyti kodą su padidintomis privilegijomis ir išgauti neskelbtiną informaciją.
- Nutekintų failų infrastruktūra yra panaši į tą, kurią anksčiau analizavo mokslininkai.
- Bet kuris vartotojas gali per kelias minutes nukopijuoti turinį ir talpinti jį serveryje.
- Daugiausia išnaudojami įrenginiai, kurie nebuvo atnaujinti, kad būtų atlikti avariniai pataisymai.
- Apple jau išleido pataisas, kurios sumažina “DarkSword” grandinės išnaudotas klaidas.
- Į galutinę naudingąją apkrovą įeina kenkėjiškų programų šeimos, tokios kaip GHOSTBLADE, GHOSTKNIFE ir GHOSTSABER.
Techninės nuotėkio detalės
Į nutekėjimą įtraukiami paprasti failai, kuriuos naudojant kenkėjiški veikėjai gali lengvai pakartotinai naudoti. Matthias Frielingsdorf, „iVerify“ įkūrėjas, situaciją įvertino kaip rimtą, nes kodą lengva pritaikyti ir įdiegti. Ele pažymėjo, kad išnaudojimui nereikia išsamių iOS žinių, o tai išplečia paprastų nusikaltėlių naudojimo galimybes. HTML ir JavaScript failų paprastumas leidžia ribotus išteklius turintiems veikėjams pakartoti atakas per trumpą laiką.
Paskelbimas GitHub įvyko po pirminio Coruna ir DarkSword pažeidžiamumo atskleidimo. Ambas grandinės priklauso nuo pataisymų, kuriuos Apple padarė naujinimuose, pvz., iOS 16.7.15, iOS 15.8.7 ir iPadOS atitikmenyse. Dispositivos, nesuderinamas su naujesnėmis sistemos versijomis, vis tiek gauna šias saugos pataisas.
Poveikis senesnių įrenginių naudotojams
Daugelis visame pasaulyje naudojamų iPhone ir iPad vis dar veikia pasenusiose versijose dėl aparatinės įrangos apribojimų. Nutekėjimas padidina masinių kampanijų, kuriose išnaudojamos pažeistos svetainės, tikimybę, kad išnaudojimas būtų pateiktas be vartotojo sąveikos, be prieigos prie puslapio. Galutiniai naudingi kroviniai gali pavogti kredencialus, teismo ekspertizės duomenis ir programų informaciją, įskaitant kriptovaliutų pinigines. Apple paskelbė pareiškimą, patvirtinantį, kad reikia nedelsiant atnaujinti.
Gamintojas patvirtino, kad žinojo apie nutekėjimą, ir pakartojo, kad kovo 11 d. buvo išleisti avariniai pleistrai, siekiant pašalinti trūkumus. Especialistas rekomenduoja iPhone savininkams patikrinti naujinimų istoriją ir įjungti automatinį programinės įrangos tikrinimą. Naujausių pataisų įdiegimas smarkiai sumažina atakos paviršių net įrenginiuose, kurie nepalaiko naujausių pagrindinių iOS versijų.
Apple ir ekspertų rekomendacijos
Bendrovė pabrėžė, kad Modo iš Bloqueio suteikia papildomą apsaugos nuo pažangių bandymų įsilaužti sluoksnį. Usuários senesnių modelių turėtų nedelsdami patikrinti programinės įrangos nustatymus, kad įdiegtų galimas saugos versijas. Pesquisadores atminkite, kad failų paprastumas palengvina pritaikymą trečiosioms šalims. Saugumo bendruomenė stebi galimą incidentų padidėjimą artimiausiomis savaitėmis.
„DarkSword“ grandinėje naudojami šeši skirtingi pažeidžiamumai, kad būtų pasiektas branduolio lygio kodo vykdymas. Três iš jų buvo panaudotos kaip nulis dienų prieš Apple pataisymus. Rinkinys leidžia dislokuoti naudingus krovinius, daugiausia dėmesio skiriant greitam duomenų išgavimui ir įrenginio valymui. Campanhas Ankstesnės su šiuo veikėju susijusios atakos buvo atakos per „watering hole“ svetaines.
Prevencinės apsaugos priemonės
Naudotojai turėtų teikti pirmenybę naujinimui į naujausias galimas iOS arba iPadOS versijas. Ativar arba Modo iš Bloqueio yra patartina didelės rizikos scenarijuose. Evitar prieiga prie įtartinų nuorodų ir naršyklės atnaujinimas papildo pagrindinę apsaugą nuo WebKit pagrįstų išnaudojimų. Especialistas pabrėžia, kad nuolatinė operacinės sistemos priežiūra išlieka pagrindine kliūtimi nuo tokio tipo grėsmių.
Apple palaiko pataisų platinimo kanalus net senesnei aparatūrai, parodydamas įsipareigojimą užtikrinti ilgalaikį vartotojų saugumą. Dabartinis epizodas yra praktinis šios Apple ekosistemos tikrovės priminimas. „DarkSword“ palaiko 18.4–18.7 „iOS“ versijas ir nuo 2025 m. lapkričio mėn. kampanijose stebėjo keli veikėjai.
Rizika, kurią padidina kodo paprastumas
Paskelbtuose failuose yra elementų, paaiškinančių, kaip veikia trūkumai ir kaip įgyvendinami išnaudojimai. Essa funkcija dar labiau palengvina pritaikymą trečiosioms šalims. Pesquisadores įspėja, kad po nutekėjimo labai išaugo įprastų nusikalstamų kampanijų platinimo rizika. Infrastruktūra, kuria dalijasi analizuota ir nutekėjusi versija, rodo pirminių kūrėjų kūrimo tęstinumą.
Modulinė struktūra leidžia skirtingiems veikėjams pritaikyti rinkinį konkretiems tikslams, nuo šnipinėjimo iki finansinės vagystės. Nutekėjimas demokratizuoja prieigą prie įrankio, kuris anksčiau buvo skirtas sudėtingesnėms grupėms. Manter Atnaujinta operacinė sistema apsaugo nuo žinomų išnaudojimų ir sumažina naujų atakų galimybę.