{"id":230983,"date":"2020-04-23T10:02:13","date_gmt":"2020-04-23T08:02:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230983"},"modified":"2024-04-23T08:08:42","modified_gmt":"2024-04-23T06:08:42","slug":"0-day-schwachstellen-in-ios-mail-app","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/23\/0-day-schwachstellen-in-ios-mail-app\/","title":{"rendered":"0-day-Schwachstellen in iOS Mail-App"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/04\/23\/0-day-exploits-in-ios-mail\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sicherheitsforscher haben zwei 0-day-Exploits in so gut wie allen iOS-Versionen (iOS 6 bis 13) gefunden, die eine Remote Code Execution (RCE) \u00fcber eine Mail erm\u00f6glichen. Die Schwachstellen werden wohl aktiv ausgenutzt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/74d8694506194df988755e314edbe5ae\" width=\"1\" height=\"1\"\/>Gefunden wurde die 0-day-Schwachstelle vom Startup ZecOps, die das Ganze in <a href=\"https:\/\/web.archive.org\/web\/20200423115724\/https:\/\/blog.zecops.com\/vulnerabilities\/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> offen gelegt haben. Ich bin gestern \u00fcber diverse Berichte, unter anderem nachfolgenden Tweet auf die Geschichte aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">New iOS zero-days actively used against high-profile targets &#8211; by <a href=\"https:\/\/twitter.com\/serghei?ref_src=twsrc%5Etfw\">@serghei<\/a><a href=\"https:\/\/t.co\/d1LW2g91kX\">https:\/\/t.co\/d1LW2g91kX<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1253005808679469061?ref_src=twsrc%5Etfw\">April 22, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Schwachstellen lassen sich \u00fcber die Mail-App von iOS ausnutzen und es sind auch F\u00e4lle bekannt, wo das genutzt wurde. Daher haben die Sicherheitsforscher die Information ver\u00f6ffentlicht, obwohl noch kein Patch von Apple vorliegt.<\/p>\n<h2>Die Schwachstellen<\/h2>\n<p>Im Anschluss an eine routinem\u00e4\u00dfige iOS Digital Forensics and Incident Response (DFIR)-Untersuchung stie\u00dfen die Sicherheitsforscher von ZecOps auf eine Reihe verd\u00e4chtiger Ereignisse. Diese betreffen die Standard-Mail-Anwendung in iOS und reichten bis zum Januar 2018 zur\u00fcck. ZecOps analysierte diese Ereignisse und entdeckte eine ausnutzbare Schwachstelle, die Apples iPhones und iPads betraf. ZecOps entdeckte dann, dass diese Schwachstellen in freier Wildbahn \u00fcber einen l\u00e4ngeren Zeitraum ausgenutzt wurden, um Unternehmensanwender, VIPs etc. anzugreifen.<\/p>\n<p>Es handelt sich wohl um zwei Schwachstellen, die eine Remote Code Execution (RCE) durch einen zugeschickte, pr\u00e4parierte E-Mail erm\u00f6glichen, wenn diese in der iOS-Mail-App (und vermutlich weiteren Mail-Apps, die iOS-Funktionen verwenden) ge\u00f6ffnet wird. Die pr\u00e4parierte Mail verbraucht dann wohl sehr viel Speicher, so dass es zu einem Speicherfehler kommt, der sich ausnutzen l\u00e4sst. <\/p>\n<p>Die Forscher legen Details in <a href=\"https:\/\/web.archive.org\/web\/20200423115724\/https:\/\/blog.zecops.com\/vulnerabilities\/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild\/\" target=\"_blank\" rel=\"noopener noreferrer\">ihrem Beitrag<\/a> offen und schreiben, dass es keine riesige E-Mail Sein muss, da es viele M\u00f6glichkeiten gebe, eine Ressourcenersch\u00f6pfung zum Ausnutzen der Schwachstelle zu erreichen<\/p>\n<h2>Betroffene iOS-Versionen<\/h2>\n<p>Die Sicherheitsforscher schreiben, dass alle getesteten iOS-Versionen, einschlie\u00dflich iOS 13.4.1, anf\u00e4llig sind. Basierend auf den Daten, die den Sicherheitsforschern vorliegen, wurden diese Fehler seit Januar 2018 aktiv in iOS 11.2.2 und m\u00f6glicherweise fr\u00fcher ausgenutzt.<\/p>\n<p>Die Forscher schreiben, das iOS 6 (wurde 2012 ver\u00f6ffentlicht) und h\u00f6her anf\u00e4llig sind. Versionen vor iOS 6 k\u00f6nnten ebenfalls anf\u00e4llig sein, fr\u00fchere Versionen wurden aber nicht \u00fcberpr\u00fcft. Zum Zeitpunkt der Ver\u00f6ffentlichung von iOS 6 war das iPhone 5 auf dem Markt.<\/p>\n<h2>Bekannte Angriffe<\/h2>\n<p>Die Sicherheitsforscher geben an, von mehreren Angriffen in der freien Wildbahn zu wissen, die ab Januar 2018 unter iOS 11.2.2 stattfanden. Zu den vermutlich angegriffenen Zielen geh\u00f6rten:<\/p>\n<ul>\n<li>Personen aus einer Fortune-500-Organisation in Nordamerika <\/li>\n<li>Eine F\u00fchrungskraft einer Fluggesellschaft in Japan  <\/li>\n<li>Ein VIP aus Deutschland  <\/li>\n<li>IT-Diensteanbieter (MSSPs) aus Saudi-Arabien und Israel  <\/li>\n<li>Ein Journalist in Europa  <\/li>\n<li>Vermutet: Eine F\u00fchrungskraft aus einem Schweizer Unternehmen<\/li>\n<\/ul>\n<p>Es ist wahrscheinlich, dass die gleichen Akteure diese Schwachstellen derzeit aktiv ausnutzen. Die Sicherheitsforscher spekulieren, dass die Angreifer diese Schwachstelle sogar schon fr\u00fcher ausgenutzt haben. <\/p>\n<h2>Wie erkennen, was kann man tun?<\/h2>\n<p>Aktuell arbeitet Apple an einem Sicherheitsupdate, und hat beide Schwachstellen in iOS 13.4.5 Beta gepatcht, wobei mir unklar ist, f\u00fcr welche iOS-Versionen noch ein Update kommt. Der aktuelle Ratschlag ist, aktuell auf die Verwendung der iOS-Mail zu verzichten. <\/p>\n<p>Problem ist, dass die Opfer den Angriff kaum erkennen k\u00f6nnen. Abgesehen von einer vor\u00fcbergehenden Verlangsamung der mobilen Mail-Anwendung sollten Benutzer kein anderes anomales Verhalten beobachten k\u00f6nnen. Nach einem Exploit-Versuch (sowohl erfolgreich als auch erfolglos) auf iOS 12 &#8211; k\u00f6nnen Benutzer einen pl\u00f6tzlichen Absturz der Mail-Anwendung beobachten.<\/p>\n<p>Auf iOS13 w\u00e4re ein Angriff, so die Sicherheitsforscher, abgesehen von einer vor\u00fcbergehenden Verlangsamung, nicht bemerkbar. Gescheiterte Angriffe sind unter iOS 13 nicht bemerkbar, da ein weiterer Angriff zum L\u00f6schen der E-Mail durchgef\u00fchrt werden kann. Einziges Indiz eines fehlgeschlagenen Angriffs w\u00e4re eine E-Mail mit der Anzeige: \"Diese Nachricht hat keinen Inhalt.\" Weitere Details sind <a href=\"https:\/\/web.archive.org\/web\/20200423115724\/https:\/\/blog.zecops.com\/vulnerabilities\/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild\/\" target=\"_blank\" rel=\"noopener noreferrer\">dem Artikel<\/a> der Sicherheitsforscher zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher haben zwei 0-day-Exploits in so gut wie allen iOS-Versionen (iOS 6 bis 13) gefunden, die eine Remote Code Execution (RCE) \u00fcber eine Mail erm\u00f6glichen. Die Schwachstellen werden wohl aktiv ausgenutzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4330,4328],"class_list":["post-230983","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ios","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230983","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230983"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230983\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230983"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230983"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230983"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}