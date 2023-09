Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat Bundesbehörden angewiesen, Sicherheitslücken zu schließen, die im Rahmen einer Zero-Click-iMessage-Exploit-Kette ausgenutzt wurden. Diese Schwachstellen wurden genutzt, um iPhones mit der von der NSO Group entwickelten Spyware Pegasus zu infizieren. Diese Aktion folgt auf die Offenlegung von Citizen Lab, dass vollständig gepatchte iPhones einer zivilgesellschaftlichen Organisation in Washington DC mithilfe einer Exploit-Kette namens BLASTPASS kompromittiert wurden, die PassKit-Anhänge mit schädlichen Bildern nutzte.

Citizen Lab hat Apple-Kunden außerdem gewarnt, die am Donnerstag veröffentlichten Notfallupdates sofort anzuwenden. Darüber hinaus haben sie Personen, die aufgrund ihrer Identität oder ihres Berufs anfällig für gezielte Angriffe sein könnten, aufgefordert, den Sperrmodus zu aktivieren.

Die beiden Schwachstellen „Image I/O“ und „Wallet“ wurden als CVE-2023-41064 bzw. CVE-2023-41061 verfolgt. Apple hat den Bericht über eine aktive Ausnutzung zur Kenntnis genommen und seitdem Korrekturen für diese Schwachstellen in den neuesten Versionen von macOS Ventura, iOS, iPadOS und watchOS veröffentlicht. Diese Updates beheben die Speicherhandhabungs- und Logikprobleme, die es Angreifern ermöglichten, beliebigen Code auf Geräten auszuführen, die nicht gepatcht wurden.

CISA hat diese beiden Sicherheitslücken in seinen Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen und erklärt, dass sie häufig zum Ziel böswilliger Cyber-Akteure werden und erhebliche Risiken für das Bundesunternehmen darstellen. Daher sind die US Federal Civilian Executive Branch Agencies (FCEB) gemäß einer im November 22 veröffentlichten verbindlichen operativen Richtlinie (BOD 01-2022) verpflichtet, alle im Katalog aufgeführten Schwachstellen innerhalb eines bestimmten Zeitrahmens zu beheben. Angesichts dieser Aktualisierung müssen Bundesbehörden bis zum 2023. Oktober 41064 anfällige iOS-, iPadOS- und macOS-Geräte in ihren Netzwerken gegen CVE-2023-41061 und CVE-2-2023 schützen.

Obwohl die Richtlinie in erster Linie für US-Bundesbehörden gilt, rät CISA privaten Unternehmen dringend, dem Patchen dieser Schwachstellen so schnell wie möglich Priorität einzuräumen. Apple hat sich in diesem Jahr aktiv mit der Beseitigung von Zero-Day-Schwachstellen in seinen Betriebssystemen befasst und seit Januar 13 insgesamt 2023 Exploits behoben.

Definitionen:

– Zero-Click-Exploit: Eine Art Cyberangriff, bei dem keine Benutzerinteraktion erforderlich ist, damit die Schwachstelle ausgenutzt werden kann.

– iMessage: Eine von Apple für seine Geräte entwickelte Messaging-Plattform.

– Spyware: Schädliche Software, die dazu dient, heimlich Informationen von einem Zielgerät oder Computer zu sammeln.

