Das Exploit-Kit Coruna verschafft Angreifern eine Reihe weitreichender Fähigkeiten auf verwundbaren Geräten: Es umgeht den Pointer Authentication Code (PAC), bricht aus der Sandbox aus und überwindet die Page Protection Layer (PPL). Darüber hinaus ermöglicht es eine Remote-Code-Ausführung über WebKit und die Ausweitung der Rechte bis auf Kernel-Ebene.

Laut der Google Threat Intelligence Group stützt sich Coruna auf mehrere Exploit-Ketten, die auf 23 iOS-Schwachstellen abzielen. Viele davon kamen in Zero-Day-Angriffen zum Einsatz. Auf aktuellen iOS-Versionen greifen die Exploits jedoch nicht; sie werden zudem blockiert, wenn das Opfer den privaten Surfmodus verwendet oder Apples Lockdown Mode aktiviert hat.

GTIG beobachtete im vergangenen Jahr, dass mehrere Akteure den Baukasten nutzten. Dazu zählten ein Kunde eines Überwachungsanbieters, eine mutmaßlich russische staatlich gestützte Hackergruppe (UNC6353) sowie ein finanziell motivierter chinesischer Akteur (UNC6691).

Letzterer setzte Coruna auf gefälschten Glücksspiel- und Krypto-Websites ein und lieferte darüber eine Schadsoftware aus, die darauf ausgelegt war, die Kryptowallets der infizierten Opfer zu leeren. Die Sicherheitsfirma iVerify wertet Coruna als Beispiel dafür, wie “hochentwickelte Fähigkeiten auf Spyware-Niveau” von kommerziellen Überwachungsanbietern zunächst in die Hände staatlicher Akteure und schließlich in kriminelle Operationen großen Maßstabs gelangen.

Die CISA nahm drei der 23 Coruna-Schwachstellen in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities) auf. Die zivilen Bundesbehörden (Federal Civilian Executive Branch) müssen ihre Geräte bis zum 26. März absichern, wie es die Binding Operational Directive 22-01 vorschreibt.

“Wenden Sie die Gegenmaßnahmen gemäß den Herstelleranweisungen an, befolgen Sie die einschlägigen Vorgaben der BOD 22-01 für Cloud-Dienste oder stellen Sie die Nutzung des Produkts ein, falls keine Gegenmaßnahmen verfügbar sind”, warnte die Behörde. Solche Schwachstellen seien ein häufiger Angriffsvektor und stellten ein erhebliches Risiko für die Bundesverwaltung dar.

Obwohl die BOD 22-01 ausschließlich für Bundesbehörden bindend ist, forderte die CISA alle Organisationen einschließlich privatwirtschaftlicher Unternehmen auf, das Schließen dieser Lücken vorrangig zu behandeln.