Exploit avançado DarkSword ameaça sistemas IOS

O CTI do ICS Labs identificou que um toolkit de exploração avançado para iOS, conhecido como DarkSword, foi vazado publicamente no GitHub, reduzindo drasticamente a barreira de entrada para ataques contra iPhones e iPads. Originalmente utilizado em operações de espionagem de nível estatal, o DarkSword agora pode ser executado por praticamente qualquer atacante com conhecimento básico. A ferramenta permite a comprometimento completo de iPhones e iPads através de uma única interação do usuário (visita a uma página maliciosa), afetando potencialmente centenas de milhões de dispositivos desatualizados.

Descrição da Ameaça

O DarkSword é uma cadeia de exploração composta por 6 vulnerabilidades. A cadeia é executada inteiramente através do navegador nativo Safari e culmina em escalação de privilégios até nível de kernel, execução remota de código no Safari e acesso irrestrito ao sistema de arquivos por meio de bypass de proteções de sandbox do IOS. Uma vez que o comprometimento seja bem-sucedido, o atacante pode extrair mensagens, credencias e arquivos do sistema, além de monitorar a atividade do usuário.

A ameaça já foi observada em campanhas reais, inicialmente direcionadas a cidadãos da Ucrânia, sendo associada ao grupo UNC6353, com possíveis ligações a interesses do governo russo, mas o vazamento do toolkit permite que a ferramenta esteja acessível para qualquer ator malicioso, reduzindo significativamente a barreira técnica para ataques.

As versões afetadas vão do IOS/IpadOS 18.4 até a 18.7. Segundo dados da Apple, aproximadamente 25% dos Iphones e Ipads estão rodando a versão 18 ou anterior do sistema, o que indica que milhões de dispositivos podem estar em risco.

Cadeia de Ataque

1. Usuário acessa um site comprometido

2. A página carrega um iframe malicioso via Safari

3. Exploração do JavaScriptCore através do DFG JIT bug

4. Escape da sandbox WebContent

5. Uso do WebGPU para injeção no processo mediaplaybackd

6. Escalação de privilégios para acesso completo ao kernel

7. Controle total do dispositivo, permitindo execução de código e consequente exfiltração de dados

Mitigações Imediatas

A versão mais recente do IOS não está vulnerável à exploração do DarkSword, mas a Apple divulgou um patch emergencial para dispositivos que não são compatíveis com a atualização para a última versão. Por isso, a recomendação imediata é aplicar todas as atualizações e patchs disponíveis para cada dispositivo.

Além disso, a Apple confirmou que dispositivos nos quais o Modo Bloqueio (também referenciado no sistema como Lockdown Mode) está ativado não são vulneráveis contra os ataques usando o DarkSword, mesmo em versões desatualizadas do sistema, o que se deve ao bloqueio de certas tecnologias web complexas quando a funcionalidade está ativa.

Recomendações para equipes de segurança

O vazamento de um toolkit restrito a operações de espionagem estatal como o DarkSword exemplifica o cenário atual de ameaças altamente sofisticadas e demonstra a importância de manter sistemas devidamente atualizados. O risco para ambientes e usuários altamente visados como alvos de ataques é alto, mas a divulgação também torna vulneráveis perfis menos expostos.

Por isso, se torna cada vez mais necessário que dispositivos não oficialmente atualizados por conta do fim do suporte do fabricante sejam substituídos em operações que requerem alto nível de segurança cibernética.

Em adição, equipes de segurança devem utilizar recursos de gestão de dispositivos móveis para bloquear o acesso de recursos corporativos para sistemas vulneráveis e forçar a atualização para versões corrigidas do IOS. Também é importante que o Modo Bloqueio seja ativo por padrão em dispositivos usados em atividades críticas ou por usuários com alto nível de importância na organização.

Os seguintes eventos podem indicar tentativas ou exploração bem-sucedida do exploit:

• Picos incomuns de upload para destinos não reconhecidos

• Conexões com domínios recém-criados ou com baixa reputação

• Comunicação com servidores fora do padrão geográfico do usuário

• Consumo incomum de recursos do sistema

• Leitura massiva de arquivos

Por fim, a resposta a um verdadeiro positivo envolvendo o DarkSword deve involver o descarte do dispositivo afetado, dado que o acesso ao kernel do dispositivo pode permitir a exploração de falhas zero-day no bootloader ou firmware, comprometendo indefinidamente sua segurança, mesmo após uma reinstalação completa do sistema.

Fontes:

• DarkSword: Exploit no iOS antigo vaza e gera alerta | SempreUpdate

• DarkSword | Github

• DarkSword Exploit Chain That Can Hack Millions of iPhones Leaked Online | Cyber Security News

• About Lockdown Mode | Apple