Het beveiligingslek remote code execution (RCE) in de standaard e-mail app van Apple is bekend bij het Security Lab van Hornetsecurity. Op dit moment bevindt het Security Lab zich in de detectiemodus. In eerste analyses kon de kwetsbaarheid in geen enkele e-mail van de afgelopen zes maanden welke werden ontvangen via de wereldwijd verspreide honeypots van Hornetsecurity worden gedetecteerd.

We gaan ervan uit dat deze kwetsbaarheden worden gebruikt bij zeer gerichte, kleinschalige en zeer individuele aanvallen, omdat aanvallers moeten weten dat hun slachtoffers iOS-apparaten gebruiken. Vaak zijn dergelijke zero-day kwetsbaarheden te waardevol voor misbruikers om op grote schaal te verspreiden omdat ze daardoor makkelijk te detecteren zouden zijn als kwaadaardige spamcampagnes.

Desalniettemin heeft het Security Lab een detectiesysteem opgezet voor het opsporen van misbruik van deze kwetsbaarheid welke de verzamelde gegevens streamt naar een systeem voor het voorspellen en classificeren van dreigingen. Als er een afwijking wordt geconstateerd, zijn de klanten beschermd.

Daarnaast zijn er al bepaalde maatregelingen die het risico voor de klanten van Hornetsecurity nog verder verlagen. PoC’s vereisten zeer grote e-mails (meerdere GB) om de RCE te reproduceren, maar Hornetsecurity accepteert een maximale e-mailgrootte van 100 MB.

Security onderzoekers gaan ervan uit dat bepaalde MIME-multi-part of RTF-structuren ook kunnen worden gebruikt om de kwetsbaarheid te veroorzaken. De Spam and Malware Protection van Hornetsecurity scant van nature e-mail structuren en classificeert afwijkingen in de structuur als spam.