1 points par GN⁺ 2023-09-08 | 1 commentaires | Partager sur WhatsApp
  • Une vulnérabilité activement exploitée, utilisée pour livrer le spyware Pegasus du groupe NSO, a été découverte lors de l’examen de l’iPhone d’un employé d’une organisation internationale de la société civile basée à Washington DC
  • Cette chaîne d’exploit, baptisée BLASTPASS par Citizen Lab, pouvait compromettre un iPhone exécutant même iOS 16.6 sans aucune interaction de la victime
  • Les attaquants ont tenté une infection zero-click en envoyant via iMessage une pièce jointe PassKit contenant une image malveillante ; Citizen Lab a annoncé une analyse plus approfondie à venir
  • Citizen Lab a immédiatement partagé sa découverte avec Apple, qui a attribué les identifiants CVE-2023-41064 et CVE-2023-41061 aux vulnérabilités concernées
  • Les mises à jour d’Apple s’appliquent à l’iPhone, à l’iPad, au Mac et à l’Apple Watch, et Citizen Lab ainsi que l’équipe Apple Security Engineering and Architecture estiment que le mode Isolement bloque cette attaque

Chaîne d’exploit BLASTPASS

  • Citizen Lab a découvert une vulnérabilité zero-click activement exploitée en examinant l’appareil d’un employé d’une organisation de la société civile basée à Washington DC et disposant de bureaux internationaux
  • Cette vulnérabilité était utilisée pour livrer le spyware mercenaire Pegasus du groupe NSO
  • Citizen Lab a nommé cette chaîne d’exploit BLASTPASS
  • BLASTPASS pouvait compromettre un iPhone exécutant la dernière version d’iOS 16.6 sans aucune interaction de la victime
  • L’attaque consistait à envoyer à la victime une pièce jointe PassKit depuis le compte iMessage de l’attaquant
    • La pièce jointe contenait une image malveillante
    • La documentation associée est disponible dans PassKit
  • Citizen Lab prévoit de publier prochainement une discussion plus détaillée sur cette chaîne d’exploit

Divulgation à Apple et CVE

  • Citizen Lab a immédiatement partagé sa découverte avec Apple et a coopéré à l’enquête d’Apple
  • Apple a attribué deux CVE liés à cette chaîne d’exploit
    • CVE-2023-41064

      • CVE-2023-41061

Mise à jour immédiate et mode Isolement

  • Citizen Lab recommande à tous les utilisateurs de mettre immédiatement à jour leurs appareils
  • Apple a publié des mises à jour pour ses produits, notamment pour l’iPhone, l’iPad, le Mac et l’Apple Watch
  • Il est recommandé aux utilisateurs davantage exposés en raison de leur identité ou de leurs activités d’activer le mode Isolement
  • Citizen Lab et l’équipe Apple Security Engineering and Architecture estiment que le mode Isolement bloque cette attaque spécifique
  • Citizen Lab a salué la rapidité de l’enquête d’Apple et de son cycle de correctifs, et a reconnu la coopération et le soutien de la victime et de son organisation

Le ciblage de la société civile, un signal de sécurité

  • Cette découverte montre une nouvelle fois que la société civile est une cible pour des exploits sophistiqués et des spywares mercenaires
  • Les mises à jour d’Apple contribueront à protéger les appareils des utilisateurs grand public, des entreprises et des gouvernements dans le monde entier
  • La découverte de BLASTPASS souligne que le soutien aux organisations de la société civile apporte une grande valeur à la cybersécurité collective

Historique des mises à jour

  • Le billet a été mis à jour le 7 septembre à 17 h 42, heure de l’Est
  • La mise à jour indique que l’équipe Apple Security Engineering and Architecture et Citizen Lab estiment que le mode Isolement bloque cette attaque spécifique

1 commentaires

 
GN⁺ 2023-09-08
Avis sur Hacker News
  • On parle beaucoup d’Apple et de logiciel, mais beaucoup trop peu de la raison pour laquelle NSO Group peut exister.
    Ils opèrent presque au grand jour, et ne semblent même pas en avoir honte. Sinon, ils ne mettraient pas ça sur leur CV : https://www.linkedin.com/company/nso-group/people/
    Quand on voit ça, on a l’impression que la « communauté tech » accepte beaucoup trop facilement ce genre d’usage de la technologie. Cette même technologie dont nous croyons qu’elle va « rendre le monde meilleur ».

    • Le documentaire de PBS sur NSO et Pegasus est bon : https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      NSO semble soutenu par le gouvernement israélien. Ils disent ne vendre qu’à des gouvernements préalablement approuvés, mais dans les faits ils vendent souvent à des États autoritaires qui surveillent et persécutent les opposants au régime.
    • NSO dit ne cibler que des « terroristes et criminels », donc si vous êtes un citoyen respectueux de la loi et que vous n’avez rien à cacher, vous n’avez aucune raison de vous inquiéter, n’est-ce pas ? Il n’existe sûrement aucun régime au monde qui qualifie de criminels ou terroristes présumés des journalistes d’investigation ou des responsables politiques d’opposition.
    • La vente de malwares / armes logicielles entre entités américaines est généralement légale, avec une grande exception : si cela relève de l’ITAR, on ne peut vendre qu’au gouvernement américain ou à des fournisseurs approuvés ITAR, sauf si c’est open source.
      Ce qui rend NSO Group condamnable, c’est qu’ils ont vendu à des régimes répressifs, et qu’ils sont soupçonnés d’avoir activement aidé ces régimes à déployer le logiciel pour nuire à des civils innocents. Ces actes, ces intentions et cet échec à gérer leur responsabilité justifient des sanctions ; de mémoire, ils sont déjà sous sanctions.
      Cela dit, il existe de nombreuses exceptions, notamment si le vendeur et l’acheteur sont de bonne foi et prévoient de l’utiliser uniquement conformément à la loi. Ceci n’est pas un conseil juridique.
    • Une grande partie de ces choses est classée comme arme, donc en pratique, c’est presque davantage le gouvernement israélien qui les vend qu’une entreprise. Ce n’est pas différent de MANPADS qui peuvent servir à abattre un Ka-52 en Ukraine ou un avion de ligne civil, et dont l’usage est orienté par la politique étrangère du pays fabricant et ses échecs.
      Il n’y a aucune raison de s’attendre à ce que le monde désarme bientôt ; le mieux est donc d’en être conscient, d’influer démocratiquement sur les politiques publiques, et d’écarter les mauvaises idées comme les mauvais acteurs.
      Israël continue de chercher à attirer l’Arabie saoudite pour se créer des alliés en vue d’une guerre potentielle contre l’Iran. Pour obtenir le survol de l’espace aérien saoudien, ils sacrifieront certainement quelques militants des droits humains. Cela dit, les choses ne semblent pas très bien tourner pour Israël récemment.
    • On a l’impression que certains voient la « communauté tech » comme un groupe cohésif doté de la capacité d’organisation nécessaire pour l’orienter dans une direction donnée.
      En réalité, la communauté tech est très diverse et pas du tout cohésive. Par exemple, beaucoup de développeurs ont tout juste de quoi couvrir leurs dépenses de base, et n’ont même pas la disponibilité mentale pour savoir ce qu’est NSO.
  • Il est intéressant de voir à quel point Apple insiste sur le fait qu’il ne faut pas utiliser le Lockdown Mode sauf si l’on est journaliste ou directement et manifestement en danger. En réalité, du point de vue utilisateur, les différences fonctionnelles ne sont pas énormes : cela revient surtout à désactiver plusieurs choses inutiles d’Apple qui tournent en arrière-plan et élargissent la surface d’attaque.
    Pourtant, tout le monde répète l’avertissement du type « ce n’est pas pour n’importe qui, seulement pour des personnes particulières ». Ce n’est ni une ressource rare ni un jeu à somme nulle. Au contraire, si tout le monde l’utilisait, cela désactiverait beaucoup de fonctions sans bénéfice pour l’utilisateur, économiserait de la batterie, et plus l’usage serait répandu, plus il serait difficile de s’en servir pour identifier des utilisateurs précis.

    • iOS devient quand même un peu moins pratique. Par exemple lors de l’ajout mutuel dans iMessage, et les performances JavaScript de Safari baissent fortement.
      Apple veut probablement éviter qu’iOS paraisse plus lent ou moins réactif qu’Android. Par ailleurs, les spywares zero-day visent généralement des personnes importantes plutôt qu’une surveillance de masse, donc le risque réel pour un individu reste faible.
      Ce serait bien d’avoir un mode intermédiaire entre les deux. Par exemple, pouvoir abaisser la sécurité pendant quelques minutes quand on a besoin d’une fonction. Si Safari détecte que JavaScript est lent, il pourrait demander si l’on veut réactiver le JIT.
    • Si Apple ne voulait pas que les gens utilisent les fonctionnalités en arrière-plan, elle ne les aurait pas incluses au départ. Il n’est pas surprenant qu’Apple veuille que les utilisateurs se servent de fonctionnalités qu’elle a intentionnellement ajoutées, qu’elles soient « inutiles » ou non.
    • D’un point de vue capitaliste, si Apple n’insiste pas fortement, un nouveau client Apple pourrait activer Lockdown Mode par défaut sur les conseils d’un ami ou d’un membre de la famille inquiet, puis se plaindre auprès d’Apple que les fonctions annoncées ne marchent pas, ou retourner l’appareil.
      Du point de vue de la realpolitik, il est possible que des régimes répressifs aient autorisé Apple à commercialiser des appareils avec cette fonction à condition de ne pas en faire la promotion active ni d’en faire le réglage par défaut. Si, en Chine, Lockdown Mode était activé par défaut et utilisé par la majorité, Apple serait rapidement expulsée du pays.
    • Sur Mac, j’utilise le Lockdown Mode parce que je n’utilise pas iMessage, FaceTime ni les autres services Apple. En pratique, ce n’est qu’un ordinateur pour le développement logiciel et les vidéos YouTube.
      Je n’ai pas non plus remarqué de différence sur le contenu web, mais c’est peut-être parce que j’utilise Firefox/Chrome au lieu de Safari. Ce que je veux vraiment, ce sont des options. Par exemple, sur iOS, j’utilise les albums photo partagés, donc j’aimerais pouvoir conserver cette fonction et désactiver seulement le reste.
    • Beaucoup de choses devenaient assez étranges une fois Lockdown Mode activé.
      D’abord, Continuity semble presque cassé, alors que c’est une fonction dont je dépends pas mal. AirPlay devient aussi assez capricieux.
      Tout cela pouvait être dû à des problèmes réseau, mais ce n’est arrivé qu’après le passage à Lockdown Mode. Et le fait que les demandes de Temps d’écran ne fonctionnent plus est aussi assez pénible.
  • Combien de vulnérabilités iMessage a-t-il eues jusqu’ici ?
    N’est-il pas temps de n’autoriser que du texte brut pour le premier message d’un nouveau contact, et pour les autres messages seulement un sous-ensemble très limité, au lieu d’un système d’extensions délirant qui n’est pas si différent d’ActiveX ?
    On pourrait aussi envisager de faire tourner toute l’app dans une sandbox, et de tout traiter via une webview comme couche de protection supplémentaire.

    • Il existe déjà un précédent appliqué de façon fluide. Le client Apple Mail ne rend pas les médias provenant d’expéditeurs inconnus sans confirmation de l’utilisateur.
      iMessage devrait avoir exactement le même comportement pour les mêmes raisons. C’est frustrant de voir des chefs de produit cupides, travaillant dans le même bâtiment, réapprendre les leçons que la génération précédente a apprises dans la douleur.
    • J’ai encore du mal à croire que ce genre de chose continue de se répéter. Quand on dit « zéro clic », on sait qu’il s’agit d’un payload complexe, comme une image ou une police.
      La réponse ne devrait pas être « ne rendons pas les images ». On devrait pouvoir faire confiance aux composants qui analysent des données externes comme les images pour ne pas pouvoir adopter un comportement malveillant, quelle que soit l’entrée.
      S’il faut du sandboxing, qu’on le fasse ; s’il faut réécrire tous les parseurs d’images dans un langage sûr depuis zéro, ou prouver formellement leur correction, qu’on le fasse. Apple a assez d’argent pour financer dix programmes spatiaux maison ; elle devrait donc pouvoir construire une bibliothèque d’images prouvable.
    • C’est très différent d’ActiveX. Pour ActiveX, des centaines d’exploits circulaient librement dans les recoins sombres d’Usenet, et des script kiddies typiques de sous-sol les utilisaient contre des ordinateurs du monde entier.
      iMessage a connu une poignée d’exploits, licenciés à des prix extrêmement élevés par des entités comme NSO à un très petit nombre d’acteurs étatiques peu recommandables, pour des attaques ciblées à très haut risque.
    • Tous les processus sous iOS s’exécutent dans une sandbox. C’est pour cela que créer ce type d’exploit est si difficile.
    • Je me demandais s’il était réellement possible de désactiver iMessage sur iPhone. Aujourd’hui, je n’utilise que WhatsApp, et les SMS améliorés ne m’intéressent pas.
      J’ai trouvé. Pour ceux que ça intéresse : sur iPhone, allez dans Settings, touchez Messages, puis passez iMessage sur Off.
  • Encore un buffer overflow dans le décodage d’images ; ça ressemble à la vulnérabilité de 2021 [1].
    Celle-là était vraiment impressionnante. Ils avaient construit un CPU à partir des opérations primitives fournies par un obscur format de compression d’image inclus dans un PDF, puis effectué suffisamment d’opérations arithmétiques pour obtenir une élévation supplémentaire vers l’exécution de code arbitraire.
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • Ça me rappelle aussi le bug de rendu TIF d’iOS 4 utilisé autrefois par jailbreakme.com. C’était génial d’appuyer sur un bouton dans Safari, puis de voir son iPod touch redémarrer avec Cydia installé.
    • Du coup, je comprends mieux pourquoi Chrome n’a toujours pas adopté JPEG-XL.
      Qu’on ne se méprenne pas : je pense que JPEG-XL est une bonne idée, mais à ceux qui demandent « quel mal y a-t-il à prendre en charge un format d’image de plus ? », voilà la réponse.
    • Encore un buffer overflow dans le décodage d’images. On pourrait penser qu’Apple ferait de la modélisation des menaces et pousserait le fuzzing jusqu’au bout, mais non. Une entreprise valorisée 2,7 billions de dollars n’arrive pas à faire ça.
    • Question peut-être idiote, mais pourquoi les décodeurs multimédias, notoirement à haut risque, ne sont-ils pas correctement placés en sandbox ?
    • Je ne connais pas bien la sécurité, mais je crois que je n’oublierai jamais ça. C’est fascinant.
  • Ce correctif est sorti aujourd’hui et semble synchronisé avec l’annonce ; il faut donc vérifier que vous-même et les personnes autour de vous avez bien fait la mise à jour.
    https://support.apple.com/en-us/HT201222

    • Fait intéressant, aucune vulnérabilité noyau, par exemple, n’est mentionnée.
      À ma connaissance, tout le code de parsing d’iMessage devrait s’exécuter dans la sandbox BlastDoor ; y a-t-il donc une autre vulnérabilité de chaîne non divulguée ici ?
    • Je me demande pourquoi il n’y a pas encore de correctif pour iOS 15. iOS 15 n’est-il pas vulnérable à cette attaque ? Ou bien les rétroportages de correctifs de sécurité arrivent-ils souvent avec du retard, sans que je le sache ? Si c’est le cas, faut-il appliquer une solution de contournement pour se protéger de ce genre d’exploit ?
  • Mettre NSO Group sur la liste noire du département du Commerce n’était manifestement pas suffisant. Ces ordures devraient finir, au moins métaphoriquement, à La Haye.

  • Si NSO Group, Pegasus et Citizen Lab vous intéressent, l’épisode 100 du podcast Darknet Diaries retrace bien l’historique.

  • Il faudrait un Lockdown Mode plus granulaire. Par exemple, désactiver l’automatisation et les éléments à risque d’iMessage et de Safari, tout en laissant les accessoires de l’appareil fonctionner.
    Ce n’est pas idéal de perdre jusqu’à ses accessoires Bluetooth pour se protéger des exploits zéro clic d’iMessage. iMessage est la surface d’attaque la plus largement exposée.

    • iMessage constitue aussi une grande partie du fossé défensif d’Apple. Il est peu probable qu’Apple autorise des apps de messagerie alternatives aux bulles vertes, qui pourraient pourtant être plus sûres.
    • Settings contient déjà des réglages permettant d’« ajuster Lockdown Mode » selon ses préférences.
      Par exemple, Settings > Messages > iMessage est un interrupteur que l’on peut désactiver si l’on estime qu’iMessage est le problème.
      Settings > Safari > Privacy and security contient aussi plusieurs réglages permettant de configurer un verrouillage plus fin pour Safari.
  • Je me demande si le mode Lockdown aurait bloqué cette attaque
    Jusqu’à présent, un iPhone en mode Lockdown a-t-il déjà été piraté au moyen d’une vulnérabilité zero-day ? En excluant les cas où l’on trompe l’utilisateur pour lui faire installer un programme malveillant

  • Fil connexe en cours :
    iOS 16.6.1 corrige deux vulnérabilités connues comme étant activement exploitées dans la nature - https://news.ycombinator.com/item?id=37423506 - septembre 2023, 7 commentaires