Detección de CVE-2024-23204: La explotación de una vulnerabilidad recientemente parcheada en la aplicación Apple Shortcuts puede llevar al robo de datos de usuario

Apple ha corregido una brecha de seguridad notoria que afecta a su aplicación Shortcuts. La falla de alta gravedad permite a los adversarios recopilar información sensible sin el consentimiento del usuario. La vulnerabilidad de Shortcuts de zero-click descubierta, rastreada como CVE-2024-23204, plantea riesgos para la privacidad del usuario, permitiendo a los actores de amenazas acceder a datos sensibles en el dispositivo comprometido sin el permiso del usuario.

Detectar Exploits de CVE-2024-23204

Con un aumento exponencial en el volumen de ataques y su sofisticación, se asume que el panorama de amenazas de 2024 será aún más desafiante que el del año pasado. El costo de los ciberataques para la economía global se estima que superará los 10.5 billones de dólares a finales de 2024. Teniendo en cuenta más de 29,000 nuevas CVEs descubiertas en 2023, con un aumento del 14,5% previsto para 2024, los profesionales de seguridad requieren soluciones avanzadas para detectar y defenderse de las amenazas de manera proactiva.

La plataforma de SOC Prime para la defensa cibernética colectiva ofrece la colección más grande del mundo de algoritmos de detección basados en comportamientos para detectar las TTP de los atacantes, respaldada por soluciones innovadoras de caza de amenazas e ingeniería de detección creadas para optimizar las operaciones de SOC.

Para ayudar a los defensores cibernéticos a identificar actividad maliciosa asociada con la explotación de CVE-2023-23204, el Mercado de Detección de Amenazas agrega una regla Sigma curada que ayuda a detectar un archivo de acceso directo de Apple descargado, lo que puede indicar un intento de explotar la vulnerabilidad destacada. Los atacantes podrían usar esta vulnerabilidad para iniciar campañas de phishing y obtener acceso inicial a los entornos de las víctimas.

Intento de Explotación Posible de CVE-2024-23204 (Uso de Datos Sensibles de MacOS Sin Solicitar al Usuario) (mediante file_event)

La regla anterior es compatible con 20 soluciones SIEM, EDR, XDR y Data Lake y está mapeada al marco MITRE ATT&CK v14.1, abordando la táctica de Acceso Inicial y Phishing (T1566) como la técnica principal. La regla está enriquecida con metadatos extensos, incluidas referencias de CTI y ATT&CK, líneas de tiempo de ataques y más.

Los profesionales de seguridad que busquen más reglas Sigma para abordar la explotación de CVE pueden profundizar en el conjunto de detección dedicado de más de 1,000 algoritmos al presionar el Explorar Detecciones botón de abajo.

Explorar Detecciones

Análisis de CVE-2024-23204

Un descubrimiento reciente por parte de investigadores en ciberseguridad ha revelado una vulnerabilidad en la aplicación Shortcuts de Apple, conocida como CVE-2024-23204, que alcanza una puntuación CVSS de 7.5. Apple Shortcuts es una herramienta muy popular que permite simplificar tareas en dispositivos macOS e iOS, ofreciendo capacidades automatizadas para tareas rápidas de aplicaciones, gestión de dispositivos, manejo de medios, mensajería y actividades basadas en ubicación. Los adversarios pueden armar esta vulnerabilidad de alta gravedad para crear un acceso directo malicioso que evite las políticas de TCC.

Jubaer Alnazi Jabin de Bitdefender desveló el problema de seguridad y proporcionó su visión detallada y detalles técnicos. La falla se encuentra dentro de la acción de acceso directo “Expandir URL” diseñada para expandir y desinfectar URLs acortadas por servicios relevantes, al tiempo que elimina los parámetros de seguimiento UTM. Abusar de estas capacidades de acceso directo implica seleccionar información sensible dentro de la aplicación Shortcuts, importarla y codificarla mediante base64, y luego enviarla al servidor del adversario. Los datos capturados se almacenan posteriormente como una imagen en el servidor del atacante a través de una aplicación Flask, creando oportunidades para una explotación adicional. La función de compartir en Shortcuts amplifica los riesgos de la vulnerabilidad, ya que los usuarios pueden importar fácilmente accesos directos que arman la falla.

Apple abordó la falla el 22 de enero de 2024, con el lanzamiento de un conjunto de versiones de productos, iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3, y watchOS 10.3. Como medidas de mitigación de CVE-2024-23204, los usuarios de Apple deben actualizar prontamente sus dispositivos a las últimas versiones, mantenerse vigilantes al ejecutar accesos directos obtenidos de fuentes no confiables y mantenerse actualizados para estar en sintonía con las correcciones relevantes introducidas por el proveedor.

Para eliminar los riesgos de explotación de CVE-2024-23204 y su impacto perjudicial, los defensores deben fomentar la vigilancia cibernética en toda la infraestructura de la organización. Aprovechando Attack Detective, los ingenieros de seguridad pueden obtener visibilidad de la superficie de ataque en tiempo real y de forma automatizada, investigar riesgos a tiempo y encontrar brechas antes de que los adversarios estén listos para atacar.