Détection CVE-2024-23204 : L’exploitation d’une vulnérabilité récemment corrigée dans l’application Apple Shortcuts peut conduire à un vol de données utilisateurs

Apple a corrigé une faille de sécurité notoire affectant son application Raccourcis. La vulnérabilité critique permet à des adversaires de collecter des informations sensibles sans le consentement de l’utilisateur. La vulnérabilité de type zero-click des Raccourcis, identifiée comme CVE-2024-23204, présente des risques pour la vie privée des utilisateurs, permettant aux acteurs malveillants d’accéder à des données sensibles sur l’appareil compromis sans l’autorisation de l’utilisateur.

Détecter les exploits CVE-2024-23204

Avec une augmentation exponentielle du volume et de la sophistication des attaques, le paysage des menaces de 2024 est supposé être encore plus difficile que l’année dernière. Le coût des cyberattaques sur l’économie mondiale est estimé à plus de 10,5 trillions de dollars américains d’ici la fin de 2024. Compte tenu de plus de 29 000 nouvelles CVE découvertes en 2023, avec une augmentation prévue de 14,5 % pour 2024, les professionnels de la sécurité nécessitent des solutions avancées pour détecter et se défendre des menaces de manière proactive.

La plateforme de défense cybernétique collective de SOC Prime propose la plus grande collection mondiale d’algorithmes de détection basés sur le comportement pour détecter les TTPs des attaquants, soutenue par des solutions innovantes de chasse aux menaces et d’ingénierie de détection créées pour optimiser les opérations SOC.

Pour aider les défenseurs cybernétiques à identifier les activités malveillantes associées à l’exploitation de CVE-2023-23204, le Threat Detection Marketplace agrège une règle Sigma sélectionnée aidant à repérer un fichier de raccourci Apple téléchargé, pouvant indiquer une tentative d’exploiter la vulnérabilité mise en lumière. Les attaquants pourraient exploiter cette vulnérabilité pour initier des campagnes de phishing et obtenir un accès initial aux environnements des victimes.

Tentative d’exploitation suspectée de CVE-2024-23204 (Utilisation de données sensibles sous MacOS sans avertir l’utilisateur) (via file_event)

La règle ci-dessus est compatible avec 20 solutions SIEM, EDR, XDR, et Data Lake et est mappée à la version 14.1 du cadre MITRE ATT&CK, traitant de la tactique d’accès initiale et du phishing (T1566) comme technique principale. La règle est enrichie par des métadonnées complètes, y compris des références CTI et ATT&CK, des chronologies d’attaques, et plus encore.

Les professionnels de la sécurité cherchant plus de règles Sigma traitant de l’exploitation de CVE peuvent approfondir en accédant à l’ensemble dédié de détection de plus de 1 000 algorithmes en cliquant sur le Exploration des Détections bouton ci-dessous.

Exploration des Détections

Analyse de CVE-2024-23204

Une récente découverte par des chercheurs en cybersécurité a révélé une vulnérabilité dans l’application Raccourcis d’Apple, connue sous le nom de CVE-2024-23204, qui atteint un score CVSS de 7,5. Apple Raccourcis est un outil très populaire qui permet de simplifier les tâches sur les appareils macOS et iOS, offrant des capacités automatisées pour les tâches rapides des applications, la gestion des appareils, la gestion des médias, la messagerie et les activités basées sur la localisation. Les adversaires peuvent armer cette vulnérabilité critique pour créer un raccourci malveillant qui contourne les politiques TCC.

Jubaer Alnazi Jabin de Bitdefender a révélé le problème de sécurité et fourni son aperçu détaillé et ses détails techniques. La faille se situe dans l’action de raccourci “Expand URL” conçue pour étendre et assainir les URL raccourcies par les services pertinents, tout en éliminant également les paramètres de suivi UTM. Abuser de ces capacités de raccourci implique de sélectionner des informations sensibles dans l’application Raccourcis, de les importer et de les encoder via base64, puis de les envoyer au serveur de l’adversaire. Les données capturées sont ensuite stockées sous forme d’image sur le serveur de l’attaquant via une application Flask, créant des opportunités pour une exploitation ultérieure. La fonctionnalité de partage dans Raccourcis amplifie les risques de la vulnérabilité, car les utilisateurs peuvent facilement importer des raccourcis qui exploitent la faille.

Apple a corrigé la faille le 22 janvier 2024, avec le lancement d’un ensemble de versions de produits, iOS 17.3, iPadOS 17.3, , macOS Sonoma 14.3, et watchOS 10.3. En tant que mesures d’atténuation de CVE-2024-23204, les utilisateurs d’Apple devraient rapidement mettre à jour leurs appareils aux dernières versions, rester vigilants lors de l’exécution de raccourcis obtenus à partir de sources non fiables, et maintenir à jour pour être en phase avec les correctifs pertinents introduits par le fournisseur.

Pour éliminer les risques d’exploitation de CVE-2024-23204 et son impact néfaste, les défenseurs devraient encourager la vigilance cybernétique à travers l’infrastructure de l’organisation. En tirant parti de Attack Detective, les ingénieurs en sécurité peuvent obtenir une visibilité en temps réel et de manière automatisée sur la surface d’attaque, enquêter à temps sur les risques et détecter les violations avant que les adversaires ne soient prêts à frapper.