Offensive équipe rouge de sécurité de Dropbox a découvert une série de vulnérabilités zero-day (Affectée par la suite CVE-2017-13890) dans le navigateur Safari d'Apple. L'équipe de recherche est tombé sur les défauts tout en testant la façon dont Dropbox et son système de stockage en nuage ont répondu aux cyberattaques. Plus précisément, les ont été découverts zéro jours par Syndis, un partenaire tiers de Dropbox.
Notre partenaire tiers, Syndis, vulnérabilités trouvées dans les logiciels d'Apple que nous utilisons à Dropbox qui ne concerne pas seulement notre flotte macOS, il a touché tous les utilisateurs de Safari exécutant la dernière version à l'époque, un soi-disant vulnérabilité zero-day), l'entreprise expliqué.
CVE-2017-13890: Vulnérabilités zero-day dans Safari d'Apple Découvert
Si les vulnérabilités sont enchaînées, ils peuvent permettre à un attaquant d'exécuter du code arbitraire sur le système cible tout en incitant la victime à visiter une page web malicieuse.
Il convient de noter que l'équipe rouge de Dropbox a effectué une attaque simulée avec l'aide de leurs partenaires de Syndis. “L'identification de nouvelles façons de percer dans Dropbox était portée pour cet engagement, mais même si aucun n'a été trouvé, nous allons simuler les effets d'une violation par simplement la plantation nous les logiciels malveillants (discrètement, bien sûr, afin de ne pas basculer de la détection et l'équipe d'intervention),” dit la tête de Dropbox de sécurité Chris Evans.
Mais l'équipe n'a pas eu à simuler quoi que ce soit après tout, comme Syndis est tombé sur un ensemble de défauts exploitables zero-day dans Safari d'Apple. L'impact zéro jours avant macOS 10.13.4 et permettre aux acteurs de la menace d'exécuter du code arbitraire sur un système vulnérable juste en visitant une page construite de manière malveillante.
Bien sûr, les chercheurs avisés d'Apple des problèmes découverts, et Apple a reconnu rapidement son rapport. Apple a publié des correctifs pour les problèmes dans environ un mois, qui peut être considéré comme un bon travail.
Les vulnérabilités ont été affectés de l'identifiant CVE-2017-13890. Voici comment Apple décrit les:
Disponible pour: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impact: Le traitement d'une page Web construite de manière malveillante peut entraîner le montage d'une image disque
Description: Un problème de logique a été traitée avec des restrictions améliorées.
L'équipe de recherche estime que le pentest un succès pour toutes les parties intéressées - Dropbox, Pomme, et pour les utilisateurs en ligne dans généraux. Syndis est allé au-delà pour trouver cet exploit au cours de notre engagement chaîne, et l'utiliser lors de l'exercice de simulation d'attaque a permis aux chercheurs de tester l'état de préparation au sein de l'entreprise contre les attaques en utilisant des vulnérabilités zero-day. Ceci est un excellent exemple de la communauté de plus en plus forte sécurité en raison des bons acteurs faire la bonne chose, Dropbox a conclu.