CVE-2024-23204 Detecção: Exploração de Uma Vulnerabilidade Recentemente Corrigida no App Atalhos da Apple Pode Levar ao Roubo de Dados de Usuários
Índice:
A Apple corrigiu uma lacuna de segurança notória que afeta seu aplicativo Atalhos. A falha de alta gravidade permite que adversários coletem informações sensíveis sem consentimento do usuário. A vulnerabilidade de zero clique descoberta nos Atalhos, rastreada como CVE-2024-23204, representa riscos à privacidade do usuário, permitindo que agentes de ameaça acessem dados sensíveis no dispositivo comprometido sem a permissão do usuário.
Detectar Exploits CVE-2024-23204
Com um aumento exponencial nos volumes e na sofisticação dos ataques, o cenário de ameaças de 2024 é considerado ainda mais desafiador do que o do ano passado. O custo dos ataques cibernéticos na economia global é estimado em mais de US$10,5 trilhões até o final de 2024. Considerando-se os 29 mil+ novos CVEs descobertos em 2023, com aumento previsto de 14,5% para 2024, os profissionais de segurança precisam de soluções avançadas para detectar e se defender proativamente das ameaças.
A Plataforma da SOC Prime para defesa cibernética coletiva oferece a maior coleção mundial de algoritmos de detecção comportamental para detectar TTPs dos atacantes, apoiados por soluções inovadoras de caça a ameaças e engenharia de detecção criadas para otimizar operações do SOC.
Para ajudar os defensores cibernéticos a identificar atividades maliciosas associadas à exploração do CVE-2023-23204, o Threat Detection Marketplace agrega uma regra Sigma curada que ajuda a detectar um arquivo de atalho do Apple baixado, potencialmente indicando uma tentativa de explorar a vulnerabilidade em destaque. Os atacantes podem usar essa vulnerabilidade para iniciar campanhas de phishing e obter acesso inicial a ambientes de vítimas.
A regra acima é compatível com 20 soluções SIEM, EDR, XDR e Data Lake e está mapeada para a estrutura MITRE ATT&CK v14.1, abordando a tática de Acesso Inicial e Phishing (T1566) como a técnica principal. A regra é enriquecida com metadados extensivos, incluindo referências CTI e ATT&CK, cronogramas de ataques e mais.
Profissionais de segurança que buscam mais regras Sigma abordando exploração de CVEs podem aprofundar-se no conjunto de detecção dedicado, com mais de 1.000 algoritmos, clicando no Explorar Detecções botão abaixo.
Análise CVE-2024-23204
Uma descoberta recente por pesquisadores de cibersegurança revelou uma vulnerabilidade no aplicativo Atalhos da Apple, conhecida como CVE-2024-23204, que atinge uma pontuação CVSS de 7,5. O Apple Atalhos é uma ferramenta altamente popular que permite simplificar tarefas nos dispositivos macOS e iOS, oferecendo capacidades automáticas para tarefas rápidas em aplicativos, gerenciamento de dispositivos, manuseio de mídia, mensagens e atividades baseadas em localização. Adversários podem explorar essa vulnerabilidade de alta gravidade para criar um atalho malicioso que contorna as políticas TCC.
Jubaer Alnazi Jabin da Bitdefender revelou o problema de segurança e forneceu sua visão geral e detalhes técnicos aprofundados. A falha reside na ação “Expandir URL” do atalho, projetada para expandir e higienizar URLs encurtados por serviços relevantes, além de eliminar parâmetros de rastreamento UTM. Abusar dessas capacidades de atalho envolve selecionar informações sensíveis dentro do aplicativo Atalhos, importá-las e codificá-las via base64, e, em seguida, enviá-las ao servidor adversário. Os dados capturados são posteriormente armazenados como uma imagem no servidor do atacante via um aplicativo Flask, criando oportunidades para exploração adicional. O recurso de compartilhamento nos Atalhos amplifica os riscos da vulnerabilidade, uma vez que os usuários podem prontamente importar atalhos que armam a falha.
A Apple resolveu a falha em 22 de janeiro de 2024, com o lançamento de um conjunto de versões de produtos, iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3, e watchOS 10.3. Como medidas de mitigação do CVE-2024-23204, os usuários da Apple devem atualizar seus dispositivos para as versões mais recentes, manter-se atentos ao rodar atalhos obtidos de fontes não confiáveis e manter-se atualizados para estar em sintonia com as correções relevantes introduzidas pelo fornecedor.
Para eliminar os riscos de exploração do CVE-2024-23204 e seu impacto prejudicial, os defensores devem incentivar a vigilância cibernética em toda a infraestrutura da organização. Aproveitando o Detetive de Ataques, engenheiros de segurança podem obter visibilidade da superfície de ataque em tempo real e de forma automatizada, investigar riscos de forma oportuna e encontrar violações antes que os adversários estejam prontos para atacar.