Come Apple ha fermato gli attacchi DarkSword: dentro le patch di iOS 18.7.7

Apple riapre la distribuzione degli aggiornamenti di sicurezza per una vasta gamma di dispositivi ancora fermi a iOS 18; una scelta che nasce da una minaccia concreta e già sfruttata sul campo. La disponibilità della versione 18.7.7 segna una novità importante: proteggere anche chi non ha effettuato il salto verso versioni più recenti del sistema (leggasi iOS 26). Il motivo principale dell’aggiornamento è legato al kit di exploit denominato DarkSword, analizzato da più gruppi di ricerca tra cui Lookout, iVerify e Google Threat Intelligence.

A differenza delle classiche catene di exploit iOS, spesso riservate a operazioni di sorveglianza altamente mirate, DarkSword mostra una diffusione più ampia e una struttura modulare che ne facilita il riutilizzo.

Il kit DarkSword, del quale abbiamo già parlato nell’ultima decade di marzo, sfrutta 6 vulnerabilità distinte identificate come CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520. Le falle interessano componenti chiave del sistema, in particolare il motore WebKit e sottosistemi di gestione della memoria. La catena di attacco tipica porta all’esecuzione di codice arbitrario tramite contenuti Web malevoli, spesso veicolati attraverso pagine compromesse o campagne phishing mirate.

DarkSword: patch mirate su più livelli del sistema

Apple ha distribuito correzioni che agiscono lungo tutta la catena dell’attacco. Il primo livello riguarda WebKit: sono stati corretti bug di tipo memory corruption e problemi nel JIT (Just-In-Time compilation) che consentivano lettura e scrittura arbitraria della memoria.

Il secondo intervento interessa il sistema di isolamento dei processi. Apple ha rafforzato i controlli tra WebContent, processi GPU e altri daemon di sistema, eliminando le condizioni che permettevano il salto tra sandbox. In parallelo sono state aggiornate librerie grafiche e componenti intermedi che fungevano da ponte tra livelli di privilegio.

Il terzo livello è il kernel: qui le patch hanno corretto vulnerabilità che permettevano l’accesso diretto alla memoria e la manipolazione di strutture critiche. In particolare, Apple ha potenziato sistemi di sicurezza come i Pointer Authentication Codes (codici che verificano l’integrità dei puntatori in memoria per impedire modifiche malevole) e le protezioni che limitano l’accesso non autorizzato a determinate aree critiche del sistema, entrambe precedentemente aggirate dagli exploit.

Hardening delle difese già esistenti

Oltre a correggere le vulnerabilità specifiche, Apple ha migliorato difese già presenti in iOS. Il sistema di sandboxing è stato ulteriormente isolato, riducendo le superfici di attacco tra processi. Sono stati anche irrigiditi i controlli sulla memoria, limitando l’efficacia delle primitive di read/write arbitrario.

Un ruolo importante lo gioca anche la Modalità isolamento, introdotta nelle versioni precedenti: in questo scenario, alcune funzionalità del browser e del sistema sono automaticamente disabilitate per ridurre la superficie attaccabile. I dati indicano che dispositivi con questa modalità attiva non risultavano vulnerabili alla catena DarkSword.

Parallelamente alle patch, Apple ha implementato misure lato rete e browser. I domini e gli URL utilizzati nelle campagne di attacco sono bloccati direttamente in Safari, riducendo la possibilità di sfruttare exploit via Web. Si tratta di un’attenzione che riduce l’esposizione immediata, soprattutto contro attacchi di tipo watering hole, dove siti legittimi compromessi distribuiscono codice malevolo attraverso iframe o script nascosti.

Malware associati e tecniche di compromissione

Le analisi sin qui condotte evidenziano l’impiego di più famiglie di malware distribuite proprio sfruttando la catena di vulnerabilità DarkSword.

Tra queste spicca GhostBlade, un infostealer in JavaScript progettato per operare direttamente nel contesto del browser: intercetta dati sensibili, sessioni attive e credenziali. A supporto si trovano GhostKnife, che introduce una backdoor persistente nel sistema e GhostSaber, capace di eseguire codice remoto e orchestrare ulteriori payload.

La combinazione di queste componenti consente agli attaccanti di costruire catene di compromissione complete: accesso iniziale via browser, escalation dei privilegi e persistenza.

Il codice JavaScript malevolo sfrutta vulnerabilità di tipo use-after-free e corruzione della memoria per uscire dalla sandbox del browser e interagire con i livelli più profondi del sistema operativo.

Limiti e scenari futuri

Nonostante gli interventi, il modello di attacco mostrato da DarkSword evidenzia un limite: la complessità delle exploit chain multi-vulnerabilità.

Apple sta quindi spostando l’attenzione verso tecniche di mitigazione generiche: rafforzamento delle protezioni hardware, riduzione delle superfici esposte e aggiornamenti più rapidi anche per versioni meno recenti del sistema. L’obiettivo non è solo correggere vulnerabilità specifiche, ma rendere più difficile costruire catene complete come quella sfruttata da DarkSword.

L’aggiornamento iOS 18.7.7 copre un ampio spettro di dispositivi, dagli iPhone XR fino alle generazioni più recenti come iPhone 16. Anche numerosi modelli di iPad ricevono la patch, inclusi iPad Air con chip M2 e M3 e iPad Pro con architettura M4.