Actualités

Vulnérabilité 0-clic dans Pegasus : déploiement de correctifs par Apple, depuis le 13 Septembre 2021 ! (à force d’entrer…)

En (pré)marge de sa conférence de rentrée, Apple a, en toute logique – il aurait été mal venu de présenter des tablettes et smartphones intégrant d’emblée une vulnérabilité aussi critique – publié des correctifs de la vulnérabilité 0-clic mise en lumière par l’équipe Citizen Lab, depuis le 24 Août 2021.

 

 

Comme cela est coutumier, les chercheurs en cyber-sécurité (éthiques ou scrupuleux) peuvent publier un PoC mais, suivant, l’avancement du correctif (et des discussions par mails ou téléphone, avec, en principe, une bonne volonté des deux côtés), une publication partielle dudit PoC est parfois effectuée, ne serait-ce que pour protéger les utilisateurs (parfois des millions) d’une communication trop expansive qui pourrait donner des idées à d’autres acteurs ou personnes malveillantes. C’est sur cette base que Citizen Lab a communiqué, depuis le 13 Septembre 2021, sur un exploit sauvage ou dans la nature de FORCEDENTRY, une vulnérabilité permet une attaque de type overflow (dépassement, débordement) integer (entier) au sein, pour rappel, de la bibliothèque CoreGraphics, qui gère les rendus-image sous Apple. Cet exploit, estimaient les chercheurs fin Août 2021, avait été conçu par NSO Group pour contourner le correctif d’Apple à l’encontre de BlastDoor, depuis iOS v14.

Les correctifs déployés, un billet évoque un peu plus en teneur cette faille assignée CVE-2021-30860 : plusieurs éléments confondent la présence du logiciel Pegasus sur les smartphones analysés, notamment la présence de chemins (library/SMS/Attachments) de fichiers intégrant l’extension .GIF ; ceux-ci incluaient :

  • La duplication (27 fois) d’un fichier (originel) .GIF qui résidait être, en réalité, un fichier Adobe PSD faisant quelques 748 octets et possédant tous un nommage composé de 10 caractères randomisés. Chaque duplication avait pour effet de provoquer un crash ou plantage de l’agent de transcodage (IMTranscoderAgent) ;
  • 4 fichier .GIF de type Adobe PDF et encodé en JBIG2. 2 possédaient un nommage de 34 caractères contre 97 caractères pour les 2 autres.

 

 

En l’état, les indices ou preuves (regroupés sous l’appellation CASCADEFAIL par Citizen Lab) confondent NSO Group et le logiciel de cyber-espionnage Pegasus via des reliquats non-supprimés complètement, ce qui a permis d’arriver aux raisonnements de ces derniers mois : “une entrée de la table ZPROCESS du fichier est supprimée, mais pas les entrées de la table ZLIVEUSAGE qui font référence à l’entrée ZPROCESS supprimée. Nous n’avons jamais vu ce type de suppression incomplète associé au logiciel espion Pegasus de NSO Group, et nous pensons que le bogue est suffisamment distinctif pour renvoyer à NSO […] Le logiciel espion installé par l’exploit FORCEDENTRY utilisait plusieurs noms de processus, dont le nom « setframed ». Ce nom de processus a été utilisé dans une attaque avec le logiciel espion Pegasus de NSO Group contre un journaliste d’Al Jazeera en juillet 2020. Notamment, nous n’avons pas publié ce détail à l’époque“, complète les chercheurs sécuritaires.

Les constatations ont été apportées à Apple depuis le 7 Septembre 2021 pour un déploiement de correctifs depuis le 13 Septembre 2021 :

 

Si ce n’est déjà fait depuis le 13 Septembre 2021, il est vivement conseillé d’appliquer la mise à jour pour les terminaux Apple concernés… A veiller !

 

 

 

Source : CitizenLab – 13 Septembre 2021 – FORCEDENTRY (faille 0-clic dévoilée fin Août 2021) : PoC (exploit dans la nature) + patchs Apple disponibles.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a