тут очень интересная ветка истории про SolarWinds, которая включает в себя 0-day для iPhone. Похоже, что хакеры, которые организовали атаку через SW в прошлом году, эксплуатировали iOS 0-day с целью кражи логинов-паролей членов правительств западных стран.
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
