Los expertos del Security Lab de Hornetsecurity han identificado la vulnerabilidad en la app de correo electrónico de Apple de ejecución de código remoto (RCE). En este momento, el Security Lab está investigando en profundidad dicha brecha de seguridad. En los primeros análisis, la vulnerabilidad no pudo ser detectada en ningún correo de los últimos seis meses recibido a través de los honeypots distribuidos globalmente por Hornetsecurity.
Asumimos que esta vulnerabilidad está siendo utilizada en ataques muy dirigidos, a pequeña escala e individuales porque los atacantes deben conocer a priori, que sus víctimas están utilizando dispositivos iOS. A menudo este tipo de vulnerabilidades de día cero son demasiado valiosas para que los ciberdelincuentes las distribuyan en campañas de spam maliciosas a gran escala y fáciles de detectar.
No obstante, el Security Lab de Hornetsecurity desplegó un sistema de detección de los ciberataques activos en dicha vulnerabilidad, que incorpora los datos recogidos a un motor de predicción y clasificación de amenazas. Si se observa alguna anomalía, los clientes están protegidos.
Además, hay ciertas limitaciones ya activas que reducen aún más el riesgo para los clientes de Hornetsecurity. Los PoCs requerían correos electrónicos muy grandes (varios GB) para reproducir el RCE, sin embargo, Hornetsecurity acepta un tamaño máximo de correo electrónico de 100MB.
Los investigadores en materia de ciberseguridad suponen que ciertas estructuras MIME multiparte o RTF también pueden utilizarse para desencadenar la vulnerabilidad. El servicio Spam and Malware Protection de Hornetsecurity escanea nativamente las estructuras de correo electrónico y clasifica las anomalías en la estructura como spam.