Attention aux utilisateurs d'Apple !
L'application de messagerie électronique par défaut préinstallée sur des millions d'iPhones et d'iPad s'est révélée vulnérable à deux failles critiques que les attaquants exploitent au moins depuis les deux dernières années pour espionner des victimes de haut niveau.
Les failles pourraient éventuellement permettre aux pirates distants de prendre secrètement le contrôle total des appareils Apple simplement en envoyant un e-mail à toute personne ciblée avec son compte de messagerie connecté à l'application vulnérable.
Selon les chercheurs en cybersécurité de ZecOps, les bogues en question sont des failles d'exécution de code à distance qui résident dans la bibliothèque MIME de l'application de messagerie d'Apple.
Bien que les deux failles soient déclenchées lors du traitement du contenu d'un e-mail, la deuxième faille est plus dangereuse car elle peut être exploitée avec un "clic zéro", où aucune interaction n'est requise des destinataires ciblés.
Apple Zero-Days, exploité probablement depuis 8 ans
Selon les chercheurs, les deux défauts existaient dans divers modèles d'iPhone et d'iPad depuis les 8 dernières années depuis la sortie d'iOS 6 et, malheureusement, affectent également l'iOS 13.4.1 actuel sans aucun correctif pour le moment.
Ce qui est plus inquiétant, c'est que plusieurs groupes d'attaquants exploitent déjà ces failles - pendant au moins 2 ans comme des jours zéro dans la nature - pour cibler des individus de diverses industries et organisations, des MSSP d'Arabie saoudite et d'Israël, et des journalistes en Europe.
"Avec des données très limitées, nous avons pu constater qu'au moins six organisations étaient touchées par cette vulnérabilité - et l'ampleur complète des abus de cette vulnérabilité est énorme", ont déclaré les chercheurs.
"Bien que ZecOps s'abstienne d'attribuer ces attaques à un acteur de menace spécifique, nous sommes conscients qu'au moins une organisation de pirates informatiques vend des exploits en utilisant des vulnérabilités qui exploitent les adresses e-mail comme identifiant principal."
Selon les chercheurs, il pourrait être difficile pour les utilisateurs d'Apple de savoir s'ils ont été ciblés dans le cadre de ces cyber-attaques, car il se trouve que les attaquants suppriment les e-mails malveillants immédiatement après avoir accédé à distance à l'appareil des victimes.
"À noter, bien que les données confirment que les e-mails d'exploitation ont été reçus et traités par les appareils iOS des victimes, les e-mails correspondants qui auraient dû être reçus et stockés sur le serveur de messagerie étaient manquants. Par conséquent, nous en déduisons que ces e-mails ont été supprimés intentionnellement dans le cadre" des mesures de nettoyage de sécurité opérationnelle d'une attaque", ont déclaré les chercheurs.
"Outre un ralentissement temporaire de l'application de messagerie mobile, les utilisateurs ne doivent observer aucun autre comportement anormal."
À noter, en cas d'exploitation réussie, la vulnérabilité exécute du code malveillant dans le contexte de l'application MobileMail ou maild, permettant aux attaquants "de divulguer, de modifier et de supprimer des e-mails".
Cependant, pour prendre à distance le contrôle total sur l'appareil, les attaquants doivent le chaîner avec une vulnérabilité de noyau distincte.
Bien que ZecOps n'ait mentionné aucun détail sur le type d'attaquants malveillants utilisés pour cibler les utilisateurs, ils pensent que les attaquants exploitaient les failles en combinaison avec d'autres problèmes du noyau pour espionner avec succès leurs victimes.
Méfiez-vous ! Pas encore de patch disponible
Les chercheurs ont repéré des attaques dans la nature et découvert les failles associées il y a près de deux mois et l'ont signalé à l'équipe de sécurité d'Apple.
Au moment d'écrire ces lignes, seule la version beta 13.4.5 d'iOS, publiée la semaine dernière, contient des correctifs de sécurité pour les deux vulnérabilités zero-day.
Pour des millions d'utilisateurs d'iPhone et d'iPad, un correctif logiciel public sera bientôt disponible avec la sortie de la prochaine mise à jour iOS.
Pendant ce temps, on déconseille fortement aux utilisateurs d'Apple d'utiliser l'application de messagerie intégrée de leur smartphone; au lieu de cela, passez temporairement aux applications Outlook ou Gmail.
Source : ZecOps
