Exploit avanzado DarkSword amenaza sistemas iOS

La CTI de ICS Labs identificó que un toolkit de explotación avanzado para iOS, conocido como DarkSword, fue filtrado públicamente en GitHub, reduciendo drásticamente la barrera de entrada para ataques contra iPhones y iPads. Originalmente utilizado en operaciones de espionaje a nivel estatal, DarkSword ahora puede ser ejecutado por prácticamente cualquier atacante con conocimientos básicos.

La herramienta permite el compromiso completo de iPhones y iPads mediante una sola interacción del usuario (visita a una página maliciosa), afectando potencialmente a cientos de millones de dispositivos desactualizados.

Descripción de la amenaza

DarkSword es una cadena de explotación compuesta por 6 vulnerabilidades. La cadena se ejecuta completamente a través del navegador nativo Safari y culmina en una escalada de privilegios hasta nivel de kernel, ejecución remota de código en Safari y acceso irrestricto al sistema de archivos mediante la evasión de protecciones de sandbox de iOS.Una vez que el compromiso es exitoso, el atacante puede extraer mensajes, credenciales y archivos del sistema, además de monitorear la actividad del usuario.

La amenaza ya fue observada en campañas reales, inicialmente dirigidas a ciudadanos de Ucrania, y se la asoció con el grupo UNC6353, con posibles vínculos a intereses del gobierno ruso. Sin embargo, la filtración del toolkit hace que la herramienta esté accesible para cualquier actor malicioso, reduciendo significativamente la barrera técnica para los ataques.

Las versiones afectadas van desde iOS/iPadOS 18.4 hasta la 18.7. Según datos de Apple, aproximadamente el 25% de los iPhones y iPads ejecutan la versión 18 o anterior del sistema, lo que indica que millones de dispositivos pueden estar en riesgo.

Cadena de ataque

1. El usuario accede a un sitio comprometido

2. La página carga un iframe malicioso a través de Safari

3. Explotación de JavaScriptCore mediante un bug del DFG JIT

4. Escape de la sandbox WebContent

5. Uso de WebGPU para inyección en el proceso mediaplaybackd

6. Escalada de privilegios para acceso completo al kernel

7. Control total del dispositivo, permitiendo la ejecución de código y la consecuente exfiltración de datos

Mitigaciones inmediatas

La versión más reciente de iOS no es vulnerable a la explotación de DarkSword, pero Apple publicó un parche de emergencia para dispositivos que no son compatibles con la actualización a la última versión. Por ello, la recomendación inmediata es aplicar todas las actualizaciones y parches disponibles para cada dispositivo.

Además, Apple confirmó que los dispositivos en los que el Modo Bloqueo (también referido en el sistema como Lockdown Mode) está activado no son vulnerables a los ataques que usan DarkSword, incluso en versiones desactualizadas del sistema. Esto se debe al bloqueo de ciertas tecnologías web complejas cuando esta funcionalidad está activa.

Recomendaciones para equipos de seguridad

La filtración de un toolkit restringido a operaciones de espionaje estatal como DarkSword ejemplifica el escenario actual de amenazas altamente sofisticadas y demuestra la importancia de mantener los sistemas debidamente actualizados. El riesgo para entornos y usuarios altamente focalizados como objetivos de ataques es elevado, pero la divulgación también vuelve vulnerables a perfiles menos expuestos.

Por ello, es cada vez más necesario que los dispositivos que ya no reciben actualizaciones oficiales debido al fin del soporte del fabricante sean reemplazados en operaciones que requieran un alto nivel de seguridad cibernética.

Además, los equipos de seguridad deben utilizar herramientas de gestión de dispositivos móviles (MDM) para bloquear el acceso a recursos corporativos desde sistemas vulnerables y forzar la actualización a versiones corregidas de iOS. También es importante que el Modo Bloqueo esté activado por defecto en dispositivos utilizados en actividades críticas o por usuarios con alto nivel de relevancia dentro de la organización.

Los siguientes eventos pueden indicar intentos o una explotación exitosa del exploit:

• Picos inusuales de carga de datos hacia destinos no reconocidos

• Conexiones con dominios recién creados o de baja reputación

• Comunicación con servidores fuera del patrón geográfico habitual del usuario

• Consumo inusual de recursos del sistema

• Lectura masiva de archivos

Finalmente, la respuesta ante un verdadero positivo que involucre a DarkSword debe implicar el descartar el dispositivo afectado, dado que el acceso al kernel puede permitir la explotación de fallas zero‑day en el bootloader o firmware, comprometiendo de forma indefinida su seguridad, incluso después de una reinstalación completa del sistema.

Fuentes:

• DarkSword: Exploit no iOS antigo vaza e gera alerta | SempreUpdate

• DarkSword | Github

• DarkSword Exploit Chain That Can Hack Millions of iPhones Leaked Online | Cyber Security News

• About Lockdown Mode | Apple