0-day-Schwachstellen in iOS Mail-App

Publiziert am 23. April 2020 von Günter Born

[English]Sicherheitsforscher haben zwei 0-day-Exploits in so gut wie allen iOS-Versionen (iOS 6 bis 13) gefunden, die eine Remote Code Execution (RCE) über eine Mail ermöglichen. Die Schwachstellen werden wohl aktiv ausgenutzt.

Anzeige

Gefunden wurde die 0-day-Schwachstelle vom Startup ZecOps, die das Ganze in diesem Blog-Beitrag offen gelegt haben. Ich bin gestern über diverse Berichte, unter anderem nachfolgenden Tweet auf die Geschichte aufmerksam geworden.

Die Schwachstellen lassen sich über die Mail-App von iOS ausnutzen und es sind auch Fälle bekannt, wo das genutzt wurde. Daher haben die Sicherheitsforscher die Information veröffentlicht, obwohl noch kein Patch von Apple vorliegt.

Die Schwachstellen

Im Anschluss an eine routinemäßige iOS Digital Forensics and Incident Response (DFIR)-Untersuchung stießen die Sicherheitsforscher von ZecOps auf eine Reihe verdächtiger Ereignisse. Diese betreffen die Standard-Mail-Anwendung in iOS und reichten bis zum Januar 2018 zurück. ZecOps analysierte diese Ereignisse und entdeckte eine ausnutzbare Schwachstelle, die Apples iPhones und iPads betraf. ZecOps entdeckte dann, dass diese Schwachstellen in freier Wildbahn über einen längeren Zeitraum ausgenutzt wurden, um Unternehmensanwender, VIPs etc. anzugreifen.

Es handelt sich wohl um zwei Schwachstellen, die eine Remote Code Execution (RCE) durch einen zugeschickte, präparierte E-Mail ermöglichen, wenn diese in der iOS-Mail-App (und vermutlich weiteren Mail-Apps, die iOS-Funktionen verwenden) geöffnet wird. Die präparierte Mail verbraucht dann wohl sehr viel Speicher, so dass es zu einem Speicherfehler kommt, der sich ausnutzen lässt.

Die Forscher legen Details in ihrem Beitrag offen und schreiben, dass es keine riesige E-Mail Sein muss, da es viele Möglichkeiten gebe, eine Ressourcenerschöpfung zum Ausnutzen der Schwachstelle zu erreichen

Betroffene iOS-Versionen

Die Sicherheitsforscher schreiben, dass alle getesteten iOS-Versionen, einschließlich iOS 13.4.1, anfällig sind. Basierend auf den Daten, die den Sicherheitsforschern vorliegen, wurden diese Fehler seit Januar 2018 aktiv in iOS 11.2.2 und möglicherweise früher ausgenutzt.

Die Forscher schreiben, das iOS 6 (wurde 2012 veröffentlicht) und höher anfällig sind. Versionen vor iOS 6 könnten ebenfalls anfällig sein, frühere Versionen wurden aber nicht überprüft. Zum Zeitpunkt der Veröffentlichung von iOS 6 war das iPhone 5 auf dem Markt.

Anzeige

Bekannte Angriffe

Die Sicherheitsforscher geben an, von mehreren Angriffen in der freien Wildbahn zu wissen, die ab Januar 2018 unter iOS 11.2.2 stattfanden. Zu den vermutlich angegriffenen Zielen gehörten:

  • Personen aus einer Fortune-500-Organisation in Nordamerika
  • Eine Führungskraft einer Fluggesellschaft in Japan
  • Ein VIP aus Deutschland
  • IT-Diensteanbieter (MSSPs) aus Saudi-Arabien und Israel
  • Ein Journalist in Europa
  • Vermutet: Eine Führungskraft aus einem Schweizer Unternehmen

Es ist wahrscheinlich, dass die gleichen Akteure diese Schwachstellen derzeit aktiv ausnutzen. Die Sicherheitsforscher spekulieren, dass die Angreifer diese Schwachstelle sogar schon früher ausgenutzt haben.

Wie erkennen, was kann man tun?

Aktuell arbeitet Apple an einem Sicherheitsupdate, und hat beide Schwachstellen in iOS 13.4.5 Beta gepatcht, wobei mir unklar ist, für welche iOS-Versionen noch ein Update kommt. Der aktuelle Ratschlag ist, aktuell auf die Verwendung der iOS-Mail zu verzichten.

Problem ist, dass die Opfer den Angriff kaum erkennen können. Abgesehen von einer vorübergehenden Verlangsamung der mobilen Mail-Anwendung sollten Benutzer kein anderes anomales Verhalten beobachten können. Nach einem Exploit-Versuch (sowohl erfolgreich als auch erfolglos) auf iOS 12 – können Benutzer einen plötzlichen Absturz der Mail-Anwendung beobachten.

Auf iOS13 wäre ein Angriff, so die Sicherheitsforscher, abgesehen von einer vorübergehenden Verlangsamung, nicht bemerkbar. Gescheiterte Angriffe sind unter iOS 13 nicht bemerkbar, da ein weiterer Angriff zum Löschen der E-Mail durchgeführt werden kann. Einziges Indiz eines fehlgeschlagenen Angriffs wäre eine E-Mail mit der Anzeige: "Diese Nachricht hat keinen Inhalt." Weitere Details sind dem Artikel der Sicherheitsforscher zu entnehmen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.