Die Remote Code Execution-Schwachstelle (RCE) in Apples Standard-E-Mail-App ist dem Security Lab von Hornetsecurity bekannt. Im Moment befindet sich das Security Lab im Erkennungsmodus. In ersten Analysen konnte die Schwachstelle in keiner E-Mail aus den letzten sechs Monaten, die über die weltweit verteilten Honeypots von Hornetsecurity empfangen wurde, entdeckt werden.
Wir gehen davon aus, dass diese Schwachstellen bei sehr gezielten, kleinräumigen und sehr individuellen Angriffen genutzt werden, da die Angreifer wissen müssen, dass ihre Opfer iOS-Geräte benutzen. Oft sind solche Zero-Day-Schwachstellen zu wertvoll für die Missbrauchenden, als dass sie in großem und daher leicht erkennbaren Spam-Kampagnen verbreitet werden könnten.
Nichtsdestotrotz hat das Sicherheitslabor ein Erkennungssystem für aktiven Missbrauch der Schwachstelle eingerichtet, das gesammelte Daten in ein System zur Bedrohungsvorhersage und -klassifizierung streamt. Wenn eine Anomalie beobachtet wird, sind die Kunden geschützt.
Darüber hinaus gibt es bestimmte bereits aktive Einschränkungen, die das Risiko für die Kunden von Hornetsecurity noch weiter senken. PoCs erforderten sehr große E-Mails (mehrere GB), um den RCE zu reproduzieren, Hornetsecurity akzeptiert jedoch eine maximale E-Mail-Größe von 100MB.
Sicherheitsforscher gehen davon aus, dass auch bestimmte MIME-multi-part- oder RTF-Strukturen verwendet werden können, um die Schwachstelle auszunutzen. Der Spam- und Malware-Schutz von Hornetsecurity scannt E-Mail-Strukturen nativ und klassifiziert Anomalien in der Struktur als Spam.