CVE-2024-23204-Erkennung: Die Ausnutzung einer kürzlich behobenen Sicherheitslücke in der Apple Shortcuts App kann zum Diebstahl von Benutzerdaten führen

Apple hat eine berüchtigte Sicherheitslücke geschlossen, die seine Shortcuts-App betrifft. Die schwerwiegende Schwachstelle ermöglicht es Angreifern, sensible Informationen ohne Zustimmung des Benutzers zu sammeln. Die aufgedeckte Zero-Click-Shortcuts-Schwachstelle, die als CVE-2024-23204 verfolgt wird, birgt Risiken für die Privatsphäre der Benutzer, da Bedrohungsakteure in der Lage sind, auf sensible Daten auf dem kompromittierten Gerät zuzugreifen, ohne dass die Erlaubnis des Benutzers erforderlich ist.

Erkennen Sie CVE-2024-23204-Ausnutzungen

Mit einem exponentiellen Anstieg des Angriffsvolumens und der Raffinesse wird angenommen, dass die Bedrohungslage im Jahr 2024 noch herausfordernder sein wird als im letzten Jahr. Die Kosten von Cyberangriffen auf die globale Wirtschaft werden bis Ende 2024 auf über 10,5 Billionen US-Dollar geschätzt. Unter Berücksichtigung von über 29.000 neuen CVEs, die 2023 entdeckt wurden, mit einem prognostizierten Anstieg von 14,5% für 2024, benötigen Sicherheitsexperten fortschrittliche Lösungen, um Bedrohungen proaktiv zu erkennen und abzuwehren.

Die Plattform von SOC Prime für kollektive Cyberabwehr bietet die weltweit größte Sammlung verhaltensbasierter Erkennungsalgorithmen zur Erkennung von TTPs von Angreifern, unterstützt durch innovative Lösungen für Bedrohungsjagd und Erkennungstechnik, die darauf abzielen, SOC-Betriebe zu rationalisieren.

Um Cyberverteidigern bei der Identifizierung bösartiger Aktivitäten im Zusammenhang mit der Ausnutzung von CVE-2023-23204 zu helfen, aggregiert der Threat Detection Marketplace eine kuratierte Sigma-Regel, die hilft, eine heruntergeladene Apple-Shortcut-Datei zu erkennen, was möglicherweise auf einen Versuch hinweist, die im Rampenlicht stehende Schwachstelle auszunutzen. Angreifer könnten diese Schwachstelle nutzen, um Phishing-Kampagnen zu starten und ersten Zugriff auf Opferumgebungen zu erlangen.

Möglicher Ausnutzungsversuch von CVE-2024-23204 (MacOS Sensitive Data Usage Without Prompting A User) (via file_event)

Die obige Regel ist mit 20 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel und an das MITRE ATT&CK-Framework v14.1 angepasst, wobei die Taktik des Ersten Zugriffs und Phishing (T1566) als Haupttechnik angesprochen werden. Die Regel wird mit umfangreichen Metadaten angereichert, einschließlich CTI- und ATT&CK-Referenzen, Angriffstimeline und mehr.

Sicherheitsexperten, die weitere Sigma-Regeln zur Adressierung der CVE-Ausnutzung suchen, können auf den dedizierten Erkennungs-Stack von mehr als 1.000 Algorithmen zugreifen, indem sie den Erkennungen erkunden Knopf unten drücken.

Erkennungen erkunden

CVE-2024-23204-Analyse

Eine jüngste Entdeckung von Cybersicherheitsforschern hat eine Schwachstelle in Apples Shortcuts-App aufgedeckt, bekannt als CVE-2024-23204, die einen CVSS-Score von 7,5 erreicht. Apple Shortcuts ist ein hochbeliebtes Tool, das die Vereinfachung von Aufgaben über macOS- und iOS-Geräte hinweg ermöglicht, wie das Angebot von automatisierten Funktionen für schnelle App-Aufgaben, Gerätemanagement, Medienhandhabung, Messaging und standortbasierte Aktivitäten. Gegner können diese schwerwiegende Schwachstelle ausnutzen, um eine bösartige Verknüpfung zu erstellen, die TCC-Richtlinien umgeht.

Jubaer Alnazi Jabin von Bitdefender deckte das Sicherheitsproblem auf und lieferte dessen detaillierte Übersicht und technische Details. Der Fehler liegt in der „URL erweitern“-Shortcut-Aktion, die dazu entwickelt wurde, URLs zu erweitern und zu bereinigen, die von relevanten Diensten verkürzt werden, während auch UTM-Tracking-Parameter entfernt werden. Das Ausnutzen dieser Shortcut-Fähigkeiten beinhaltet das Auswählen sensibler Informationen in der Shortcuts-App, das Importieren und Codieren über base64 und dann das Senden an den gegnerischen Server. Die erfassten Daten werden anschließend durch eine Flask-App auf dem Server des Angreifers als Bild gespeichert und bieten Möglichkeiten für weitere Ausnutzungen. Die Sharing-Funktion in Shortcuts verstärkt die Risiken der Schwachstelle, da Benutzer Verknüpfungen leicht importieren können, die die Schwäche ausnutzen.

Apple hat die Schwachstelle am 22. Januar 2024 behoben mit der Einführung eines Satzes von Produktversionen, iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3und watchOS 10.3. Als Abhilfemaßnahmen für CVE-2024-23204 sollten Apple-Nutzer ihre Geräte unverzüglich auf die neuesten Versionen aktualisieren, wachsam bleiben, wenn sie Verknüpfungen aus unzuverlässigen Quellen ausführen, und sich über relevante vom Anbieter eingeführte Korrekturen auf dem Laufenden halten.

Um die Risiken der Ausnutzung von CVE-2024-23204 und deren schädlichen Auswirkungen zu beseitigen, sollten Verteidiger zu einer erhöhten Cyber-Wachsamkeit in der gesamten Infrastruktur der Organisation ermutigen. Durch den Einsatz von Attack Detectivekönnen Sicherheitsingenieure in Echtzeit und automatisiert die Sichtbarkeit der Angriffsfläche erlangen, Risiken zeitnah untersuchen und Sicherheitsverletzungen erkennen, bevor die Angreifer bereit sind zuzuschlagen.