Alerte sur les menaces à la cybersécurité : des vulnérabilités de type zero-day ont été détectées dans le PassKit d'Apple

Remarque : cet article a été initialement publié sur SmarterMSP.

L'alerte du jour sur les menaces à la cybersécurité concerne Apple, qui a récemment publié des mises à jour critiques pour les produits iPhone et Mac après la détection de deux vulnérabilités de type zero-day dans le cadre de son PassKit via iMessage. Ces deux vulnérabilités permettent aux pirates d'exécuter des codes arbitraires sur les appareils sans aucune interaction de la part de la victime. Barracuda MSP recommande d'appliquer les derniers correctifs fournis par Apple.

Nature de la menace

La première vulnérabilité de type zero-day, CVE-2023-41064, est une vulnérabilité de dépassement de capacité de la mémoire tampon initiée par le traitement d'une image conçue de manière malveillante via le cadre Image I/O d'Apple PassKit. Les pirates qui réussissent leur attaque peuvent exécuter des codes arbitraires sur les appareils ciblés. La seconde vulnérabilité de type zero-day, CVE-2023-41061, a un impact sur le cadre Wallet d'Apple PassKit. Une exploitation réussie au cours du processus de validation peut permettre aux pirates d'accéder aux appareils non corrigés et d'exécuter des codes arbitraires. Les deux vulnérabilités de type zero-day sont considérés comme une chaîne de vulnérabilité sans interaction, suivie en tant que BLASTPASS. Ces deux vulnérabilités installent le logiciel espion commercial Pegasus du NSO Group sur divers produits Apple. Les appareils suivants sont affectés par ces vulnérabilités :

• iPhone 8 et versions ultérieures
• iPad Pro (tous les modèles), iPad Air 3^ème génération et versions ultérieures, iPad 5^ème génération et versions ultérieures, et iPad mini 5^ème génération et versions ultérieures
• Macs utilisant le système d'exploitation Ventura
• Apple Watch série 4 et versions ultérieures

Pourquoi est-ce important ?

Les appareils Apple sont l'un des appareils personnels les plus utilisés et ne sont souvent pas gérés par les entreprises. Ces vulnérabilités sont associées à deux de leurs produits populaires, les iPhone et les Mac. Chacune des CVE de la vulnérabilité a reçu un score de base élevé de 7,8 au Common Vulnerability Scoring System (CVSS) selon la base de données nationale sur les vulnérabilités du NIST. Des mesures doivent être prises dès que possible, car ces vulnérabilités permettent aux pirates de contourner l’interaction des utilisateurs lors d’une exploitation réussie.

Quel est le risque ou le degré d'exposition ?

Les récentes vulnérabilités de type zero-day d'Apple peuvent entraîner une exposition significative et/ou un risque pour ses clients. Si elles sont correctement exploitées, elles peuvent entraîner une exécution de code arbitraire, comme le logiciel espion commercial Pegasus du groupe NSO et bien plus encore. Apple a publié des correctifs pour ces vulnérabilités dans sa dernière alerte.

Quelles sont les recommandations ?

Barracuda MSP recommande les mesures suivantes pour limiter l'impact des vulnérabilités de type zero-day :

• Installez le dernier correctif disponible sur vos appareils.
• Pour les identités/professions de haut niveau, pensez à activer le mode de verrouillage sur les appareils.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

• https://www.bleepingcomputer.com/news/security/apple-zero-click-imessage-exploit-used-to-infect-iphones-with-spyware/
• https://www.bleepingcomputer.com/news/apple/apple-discloses-2-new-zero-days-exploited-to-attack-iphones-macs/
• https://support.apple.com/en-us/HT213906
• https://support.apple.com/en-us/HT213905
• https://support.apple.com/en-ca/HT212650
• https://nvd.nist.gov/vuln/detail/CVE-2023-41061
• https://nvd.nist.gov/vuln/detail/CVE-2023-41064

Remarque : cet article a été initialement publié sur SmarterMSP.