Kwetsbaarheid in Apple besturingssysteem wordt misbruikt om Westerse politici aan te vallen

Gepubliceerd op 16 juli 2021 om 15:00

Russische hackers hebben een zero day exploit in Apples besturingssysteem iOS misbruikt om Westerse politici aan te vallen. Door een kwetsbaarheid in Webkit in Safari konden aanvallers via LinkedIn Messaging een bericht met phishinglink versturen. Eenmaal op de pagina werden authenticatiecookies van populaire sites als Facebook en Google gestolen.

Lek in een softwareprogramma

Een zero day exploit is een lek in een softwareprogramma of applicatie die sinds de lancering bestaat, maar niet bekend is bij de ontwikkelaars. Hackers en cybercriminelen misbruiken deze kwetsbaarheden om ongemerkt toegang te krijgen, gegevens te stelen of om ransomware of andere kwaadaardige malware te installeren. Zero day exploits zijn dan ook zeer gevaarlijk. Grote techbedrijven geven jaarlijks miljoenen dollars uit aan ethische hackers om deze kwetsbaarheden te ontdekken en te melden.

De Threat Analysis Group (TAG) van Google houdt zich dagelijks bezig met het opsporen van zero days. In haar laatste blog schrijft de groep dat ze de laatste tijd vier zero day exploits hebben gevonden. Daarmee komt de teller voor dit jaar uit op 33. In heel 2020 ontdekte TAG 22 zero day kwetsbaarheden, een stijging van 50 procent ten opzichte van vorig.

Handel in zero day exploits

Google maakt zich hier grote zorgen over. Het komt steeds vaker voor dat hackers zero day exploits ontdekken en verkopen aan private partijen. “Groepen hoeven niet langer over de technische expertise te beschikken, nu hebben ze alleen middelen nodig”, aldus Google. Drie van de vier ontdekte exploits zijn volgens de techreus ontwikkeld door commerciële partijen en verkocht aan staatshackers.

Eén van de ontdekte zero day exploits betreft een kwetsbaarheid in Webkit in Apples webbrowser Safari. Deze kwetsbaarheid, beter bekend als CVE-2021-1879, stelde hackers in staat om cross-site scripting (XSS) uit te voeren. Dat is een beveiligingsbug waarmee aanvallers een kwaadaardige JavaScript-code kunnen uitvoeren op een internetpagina. Eenmaal uitgevoerd kan het gedrag of uiterlijk van een pagina veranderen. Hackers gebruiken deze methode vaak om privé- of inloggegevens van gebruikers te stelen.

De exploit in kwestie schakelde de Same-Origin-Policy beveiliging uit. Dat is een beveiligingsmaatregel die moet voorkomen dat bepaalde data tussen websites wordt uitgewisseld. Door de Same-Origin-Policy te omzeilen, wisten hackers authenticatietokens voor accounts van populaire sites als Google, Facebook, Microsoft, Yahoo en LinkedIn te vergaren binnen Safari. Deze tokens werden via een WebSocket naar een IP-adres van de hacker verstuurd. Om te werken moest het slachtoffer op het moment van de aanval op internet surfen via de webbrowser van Apple.

Russische staatshackers

TAG beschrijft hoe deze zero day exploit actief werd misbruikt door Russische staatshackers. Zij gebruikten het lek om phishinglinks naar West-Europese politici te versturen via LinkedIn Messaging. Als zij via een iPhone of iPad op deze URL klikten, stuurde deze link hen door naar een malafide website. Daar werden de authenticatietokens buitgemaakt.

Google zegt niet wie de zero day exploit heeft misbruikt, maar houdt het op ‘hackers die door Rusland worden gesteund’. De kwetsbaarheid werd op 19 maart ontdekt door TAG en werkte op iPhones en iPads met iOS-versie 12.4 tot en met 13.7. Een week later rolde Apple een beveiligingsupdate uit die het lek dichtte.

How We Protect Users From 0 Day Attacks
PDF – 206,1 KB 472 downloads

Bron: blog.google/threat-analysis-group, vpngids.nl

Meer info over zero days

Tips of verdachte activiteiten gezien? Meld het hier.

Zero days gerelateerde berichten

2021 record jaar Zeroday kwetsbaarheden

Geregeld brengen softwareleveranciers beveiligingsupdates uit voor zeroday lekken en 2021 was wat dat betreft een recordjaar. Niet eerder lag het aantal ontdekte zerodays zo hoog en moesten met name Apple, Google en Microsoft in actie komen. In dit artikel een terugblik op de zeroday lekken van 2021 en achterliggende ontwikkelingen.

Lees meer »

Alleen al bekijken via het previewvenster in de Verkenner is genoeg om de aanval in te zetten

Het HP Wolf Security bedreigingsonderzoeksteam vond bewijs dat cybercriminelen zich snel organiseren om een lek in software die nog niet bij het moederbedrijf bekend is, maar wel bij hackers (zero-day) in te zetten op nieuwe kwetsbaarheden. Op 8 september onderschepte HP voor het eerst een stukje code (exploit) gericht op de kwetsbaarheid met de benaming CVE-2021-40444 die via misbruik van Microsoft Office-documenten het systeem infecteerde. Dit gebeurde een week voordat de patch werd vrijgegeven op 14 september.

Lees meer »