Apple выпустила экстренное обновление для iOS (iOS 9.3.5), исправив три критические 0day уязвимости с идентификаторами CVE-2016-4655, CVE-2016-4656, CVE-2016-4657. Особенность этих уязвимостей заключается в том, что они используются атакующими в направленных атаках для удаленного получения доступа к устройству с максимальными правами. Сам по себе случай использования трех 0day уязвимостей для iOS является действительно беспрецедентным. Кибератака была обнаружена специалистами двух компаний: Lookout и Citizen Lab. Связка трех эксплойтов получила название Trident, а вредоносная программа, устанавливаемая с помощью них Pegasus. Подобная связка гарантирует компрометацию устройства с iOS ниже версии 9.3.5 вне зависимости от того установлен на нем jailbreak или нет. Одна из уязвимостей позволяет отключать проверку легитимности запускаемого в iOS кода и выполнять удаленный jailbreak.

Как уже упоминалось, эксплойт использует три уязвимости в iOS.

• На первом этапе используется Remote Code Execution (RCE) уязвимость с идентификатором CVE-2016-4657 в движке веб-браузера WebKit, которая позволяет удаленно выполнить код на устройстве с использованием специальным образом сформированной веб-страницы. При этом жертва получает ссылку на веб-страницу в SMS-сообщении.
• Далее эксплойт использует уязвимость CVE-2016-4655 типа Security Feature Bypass (SFB), которая позволяет обойти Kernel ASLR (KASLR) и раскрыть виртуальный адрес ядра в памяти iOS.
• На последнем этапе используется уязвимость CVE-2016-4656 типа Local Privilege Escalation (LPE), коду эксплуатации которой передается раскрытый адрес ядра в памяти. На этом этапе код эксплойта может запустить свой код в режиме ядра и отключить проверку легитимности (цифровой подписи) запускаемых в iOS приложений (jailbreak), что делает возможным запуск на устройстве вредоносной программы злоумышленников.

Оригинальное сообщение с вредоносной ссылкой.

В качестве мишени для кибератаки злоумышленниками был выбран известный защитник прав человека Ahmed Mansoor, на iPhone которого и пришли SMS-сообщения с вредоносными ссылками.

Отметим, что описанный эксплойт является именно тем случаем, за покупку которого фирма Zerodium предлагала $1 млн. Речь идет об эксплойте с возможностью удаленного jailbreak.

ZERODIUM will pay out one million U.S. dollars ($1,000,000.00) to each individual or team who creates and submits to ZERODIUM an exclusive, browser-based, and untethered jailbreak for the latest Apple iOS 9 operating system and devices.

Данная атака является очень большим исключением из всего, что ранее наблюдалось для весьма защищенной мобильной ОС Apple iOS. Количество вредоносных программ для iOS исчисляется десятком и практически все они нацелены на устройства с установленным jailbreak. Про эксплойты даже не приходится говорить, поскольку до этого момента нельзя вспомнить ни одной in-the-wild кибератаки, в которой бы использовались эксплойты для удаленной установки кода на iOS.

Мы рекомендуем пользователям установить iOS 9.3.5 как можно скорее. Для проверки обновления и его установки следует перейти в Настройки->Основные->Обновление ПО.


be secure.