ukycircleLog

セキュリティ,ガジェット,ポケモン etc...といった内容をテキトーに投稿するブログ※このサイトはGoogle Analyticsを利用しています

#4【英語記事和訳】Zero-Day Vulnerabilities in iOS Mail App Exploited in Targeted Attacks

 

  • 概要

日付: 2020-04-23

 

iOS のメールアプリケーションには,少なくとも2018年以降から標的型攻撃で悪用されていると思われる2つの重大なゼロデイ脆弱性が存在する,とZecOps 社がが公表した.

 

ZecOps社によると,2012年にリリースされたiOS 6のバージョンから本脆弱性が存在していた.
Appleは,iOS 13.4.5ベータ版で本脆弱性をパッチにて修正している.本脆弱性の影響を受けるのはiOSのデフォルトのメールアプリのみのようである.
Apple から全ユーザーにパッチを展開するまでは,脆弱性のあるアプリの代わりのアプリ(GmailOutlook など)を使用することで攻撃を防ぐことが推奨されている.

 

脆弱性はout-of-bounds 書き込みとヒープオーバーフローの問題であるとして説明されており,
iOS 12のMobileMail,iOS 13のmaild に影響を与え,標的となるユーザーに細工されたメールを送信することで悪用可能である.
脆弱性が悪用されると,メールアプリケーション内でリモートコードの実行が可能となり,メールの閲覧,変更,削除を行うことが可能である.

加えて,ZecOps の研究者によると,カーネル脆弱性と組み合わせてデバイスへのフルアクセスが可能となる可能性がある.

 

iOS 13では,ユーザーの操作を必要としない「ゼロクリック攻撃」,つまり,悪意のあるメールがアプリケーションに読み込まれるだけで攻撃が成立してしまう.
iOS 12においても,攻撃者がメールサーバを制御できれば,ゼロクリック攻撃が成立してしまう.

脆弱性は高度な攻撃者の標的型攻撃で広く悪用されており,標的は米国の企業に勤める個人,ドイツのVIP,日本の通信事業者の幹部,ヨーロッパのジャーナリスト,イスラエルサウジアラビアのMSSP,スイスの組織の幹部を認識している.

 

脆弱性を悪用した攻撃は,「やとわれハッカー」によって販売されていることも確認されている.

 

  • 和訳

iOSのMailアプリケーションは、少なくとも2018年1月以降、標的型攻撃で悪用されていると思われる2つの重大なゼロデイ脆弱性の影響を受けていると、サイバーセキュリティ自動化企業のZecOpsが水曜日に報告しました。

ZecOpsによると、この脆弱性iOS 6、2012年にリリースされたバージョンから存在していたという。同社は2月から3月にかけてAppleに調査結果を報告し、欠陥を悪用した攻撃をテック大手に通知していた。ベンダーは、iOS 13.4.5ベータ版で脆弱性をパッチで修正している。GmailOutlookなどのiOS向けの他のメールアプリは影響を受けていないようなので、Appleが全ユーザーにパッチを展開するまでは、これらのアプリを使用して攻撃を防ぐことが推奨されています。

アウトオブバウンズ書き込みとヒープオーバーフローの問題として説明されている脆弱性は、iOS 12のMobileMailアプリケーションとiOS 13のmaildに影響を与え、標的となるユーザーに特別に細工された電子メールを送信することで悪用される可能性があります。この欠陥を悪用すると、標的となるアプリケーションのコンテキスト内でリモートコードが実行され、攻撃者はメールの閲覧、変更、削除を行うことができます。

ZecOpsの研究者は、これらの欠陥を悪用した脅威の行為者は、カーネル脆弱性と組み合わせて、侵害されたデバイスへのフルアクセスを可能にした可能性があると考えています。

iOS 13では、この攻撃はユーザーの操作を必要とせず(つまり、ゼロクリック攻撃)、バックグラウンドでメールアプリを開くだけで十分に悪用が可能です。iOS 12では、標的となるユーザーが悪用のトリガーとなる悪意のあるメールをクリックする必要がありますが、攻撃者がメールサーバーを制御できれば、iOS 12でもゼロクリック攻撃が可能です。

"ZecOpsのリサーチと脅威インテリジェンスに基づき、これらの脆弱性、特にリモートヒープオーバーフローは、高度な脅威運用者による標的型攻撃で広く悪用されていると確信しています」とZecOpsはブログ記事で述べています。

サイバーセキュリティ会社によると、北米のフォーチュン 500 企業の個人、ドイツの VIP、日本の通信事業者の幹部、ヨーロッパに拠点を置くジャーナリスト、イスラエルサウジアラビアのマネージドセキュリティサービスプロバイダ (MSSP)、そしておそらくスイスの組織の幹部を狙った攻撃を認識しているとのことです。

ZecOpsの研究者は、悪用された場合、一時的にメールアプリケーションの速度が低下したり、クラッシュしたりする可能性がありますが、被害者は他の不審な動作を見ることはないと判断しています。さらに、攻撃者は悪用された後に悪意のあるメールを削除して痕跡を消すことができます。

"私たちは、これらの攻撃は、少なくとも1つの国民国家の脅威運用者または、第三者の研究者からPOC(Proof of Concept)グレードで悪用を購入し、『そのまま』または軽微な修正を加えて使用した国民国家と相関性があると考えています。"とZecOpsは述べています。"ZecOpsは、これらの攻撃を特定の脅威行為者に帰属させることは控えていますが、少なくとも1つの「雇われハッカーズ」組織が、メールアドレスを主な識別子として利用する脆弱性を利用したエクスプロイトを販売していることを認識しています。 

 

  • 原文

The Mail application in iOS is affected by two critical zero-day vulnerabilities that appear to have been exploited in targeted attacks since at least January 2018, cybersecurity automation company ZecOps reported on Wednesday.

According to ZecOps, the vulnerabilities have existed since iOS 6, a version released in 2012. The company reported its findings to Apple in February and March, and notified the tech giant of attacks exploiting the flaws. The vendor has patched the weaknesses in iOS 13.4.5 beta. Other email apps for iOS, such as Gmail and Outlook, do not seem to be impacted so using these applications is recommended for preventing attacks until Apple rolls out the patch to all users.

The vulnerabilities, described as out-of-bounds write and heap overflow issues, affect the MobileMail application on iOS 12 and maild on iOS 13, and they can be exploited by sending specially crafted emails to the targeted user. Exploitation of the flaws can result in remote code execution in the context of the targeted application, allowing the attacker to view, modify or delete emails.

ZecOps researchers believe that the threat actors who exploited these flaws also combined them with a kernel vulnerability that may have given them full access to the compromised device.

The attack does not require any user interaction on iOS 13 (i.e. zero-click attack); opening the Mail app in the background is enough to trigger the exploit. On iOS 12, the targeted user needs to click on the malicious email to trigger the exploit — zero-click attacks are possible on iOS 12 if the attacker can control the mail server.

“Based on ZecOps Research and Threat Intelligence, we surmise with high confidence that these vulnerabilities – in particular, the remote heap overflow – are widely exploited in the wild in targeted attacks by an advanced threat operator(s),” ZecOps said in a blog post.

The cybersecurity firm says it’s aware of attacks aimed at individuals at a North American Fortune 500 company, a VIP from Germany, an executive from a carrier in Japan, a journalist based in Europe, managed security service providers (MSSPs) in Israel and Saudi Arabia, and possibly an executive at a Swiss organization.

ZecOps researchers determined that exploitation can result in a temporary slowdown or a crash of the email application, but victims should not see other suspicious behavior. Moreover, the attacker can delete the malicious email after exploitation to cover their tracks.

“We believe that these attacks are correlative with at least one nation-state threat operator or a nation-state that purchased the exploit from a third-party researcher in a Proof of Concept (POC) grade and used ‘as-is’ or with minor modifications,” ZecOps said. “While ZecOps refrain from attributing these attacks to a specific threat actor, we are aware that at least one ‘hackers-for-hire’ organization is selling exploits using vulnerabilities that leverage email addresses as a main identifier.”

 

  • 所感/メモ

関連文献にあるように,少し前からiOS にはメールを受信するだけでデバイスの制御を乗っ取られるような脆弱性がある.という記事を目にしていたが,その脆弱性が改めて公になった形である.

ゼロデイで現状ユーザーにパッチがいきわたらない状態でリモートコード実行可能,という恐ろしい脆弱性であり,早急に対応する必要がある.幸いなことに,メールアプリは無料で使えるものから有料のものまで有用なものが多いので,本脆弱性を回避するためにいつもやっていることができなくなるということはないと思う.

 

POCの明確な所在は記載されていないが,POC単位で取引がされているという記述もあり,いつ誰もが攻撃を受けても不思議ではない.また,脆弱性はずっと前から存在していたらしく,ベータ版ではパッチが当たっているとしり,現在の自分のiOS のバージョンを見たら最新でも 13.4.1 なので,パッチが当たっている13.4.5 が一般ユーザーに配布されるのは当分先...になるかもしれないので,できる対策は今のうちにとっておこう.と思った.

 

主に標的型攻撃に利用されると記述されており,私は標的にされるほど大した人物ではないのだが,念のためデフォルトのメールアプリは所有のiOSバイスからは削除しておいた.(そもそもメインはGmail だし)

 

  • 出典
    securityweek.com/zero-day-vulnerabilities-ios-mail-app-exploited-targeted-attacks?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29