Rilevamento CVE-2024-23204: Lo sfruttamento di una vulnerabilità recentemente corretta nell’app Apple Shortcuts può portare al furto di dati utenti

Apple ha risolto una nota lacuna di sicurezza che interessa la sua app Shortcuts. La falla ad alta gravità consente agli avversari di raccogliere informazioni sensibili senza il consenso dell’utente. La vulnerabilità zero-click scoperta in Shortcuts, tracciata come CVE-2024-23204, comporta rischi per la privacy degli utenti, consentendo agli attori della minaccia di accedere a dati sensibili sul dispositivo compromesso senza il permesso dell’utente.

Rileva Sfruttamenti CVE-2024-23204

Con un aumento esponenziale dei volumi di attacco e della sofisticazione, il panorama delle minacce del 2024 è previsto essere ancora più impegnativo rispetto all’anno scorso. Il costo degli attacchi informatici sull’economia globale è stimato superare i 10,5 trilioni di dollari entro la fine del 2024. Considerando i 29K+ nuovi CVE scoperti nel 2023, con un aumento previsto del 14,5% per il 2024, i professionisti della sicurezza richiedono soluzioni avanzate per rilevare e difendersi proattivamente dalle minacce.

La piattaforma di SOC Prime per la difesa cibernetica collettiva offre la più grande collezione mondiale di algoritmi di rilevamento basati sul comportamento per individuare TTP degli attaccanti, supportata da innovative soluzioni di threat hunting e detection engineering create per ottimizzare le operazioni del SOC.

Per assistere i difensori cibernetici nell’identificare attività malevola associata allo sfruttamento di CVE-2023-23204, il Threat Detection Marketplace aggrega una regola Sigma curata che aiuta a individuare un file shortcut di Apple scaricato, potenzialmente indicando un tentativo di sfruttare la vulnerabilità sotto i riflettori. Gli attaccanti potrebbero utilizzare questa vulnerabilità per avviare campagne di phishing e ottenere accesso iniziale agli ambienti delle vittime.

Possibile Tentativo di Sfruttamento CVE-2024-23204 (Uso di Dati Sensibili su MacOS Senza Richiesta All’Utente) (via file_event)

La regola sopra è compatibile con 20 soluzioni SIEM, EDR, XDR e Data Lake e mappata al framework MITRE ATT&CK v14.1, affrontando la tattica di Initial Access e il Phishing (T1566) come la principale tecnica. La regola è arricchita con ampi metadati, comprese referenze CTI e ATT&CK, cronologie degli attacchi e altro.

I professionisti della sicurezza che cercano più regole Sigma relative allo sfruttamento CVE possono approfondire lo stack di rilevamento dedicato di oltre 1.000 algoritmi cliccando il Esplora Rilevamenti pulsante qui sotto.

Esplora Rilevamenti

Analisi di CVE-2024-23204

Una recente scoperta dei ricercatori di cybersecurity ha rivelato una vulnerabilità nell’app Shortcuts di Apple, conosciuta come CVE-2024-23204, che raggiunge un punteggio CVSS di 7.5. Apple Shortcuts è uno strumento molto popolare che consente di semplificare le attività su dispositivi macOS e iOS, offrendo ad esempio capacità automatizzate per attività rapide delle app, gestione dei dispositivi, gestione dei media, messaggistica e attività basate sulla posizione. Gli avversari possono sfruttare questa vulnerabilità ad alta gravità per creare un collegamento malevolo che aggira le politiche TCC.

Jubaer Alnazi Jabin di Bitdefender ha svelato il problema di sicurezza e fornito il suo approfondimento dettagliato e i dettagli tecnici. Il difetto risiede nell’azione “Expand URL” del collegamento progettata per espandere e sanificare gli URL abbreviati dai servizi rilevanti, eliminando al contempo i parametri di tracciamento UTM. Abusare di queste capacità del collegamento implica la selezione di informazioni sensibili all’interno dell’app Shortcuts, importandole e codificandole tramite base64, e inviandole poi al server dell’avversario. I dati catturati vengono successivamente memorizzati come immagine sul server dell’attaccante tramite un’app Flask, creando opportunità per ulteriori sfruttamenti. La funzione di condivisione in Shortcuts amplifica i rischi della vulnerabilità, poiché gli utenti possono importare facilmente collegamenti che sfruttano il difetto.

Apple ha affrontato il difetto il 22 gennaio 2024, con il lancio di un set di versioni di prodotto, iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3e watchOS 10.3. Come misure di mitigazione per CVE-2024-23204, gli utenti Apple dovrebbero aggiornare prontamente i loro dispositivi alle versioni più recenti, rimanere vigili quando eseguono collegamenti ottenuti da fonti non affidabili, e mantenersi aggiornati in sintonia con le correzioni rilevanti introdotte dal fornitore.

Per eliminare i rischi dello sfruttamento di CVE-2024-23204 e il suo impatto dannoso, i difensori dovrebbero incoraggiare la vigilanza informatica nell’intera infrastruttura dell’organizzazione. Sfruttando Attack Detective, gli ingegneri della sicurezza possono ottenere visibilità della superficie di attacco in tempo reale e in modo automatizzato, indagare tempestivamente sui rischi e trovare le violazioni prima che gli avversari siano pronti a colpire.