A „Művelet háromszögelése” A kémprogram-támadók megkerülik az iPhone memóriavédelmét

Az Apple iPhone System on a Chip (SoC) rendszerében található, korábban nem dokumentált hardverfunkció több sebezhetőség kihasználását teszi lehetővé, és végül lehetővé teszi a támadók számára, hogy megkerüljék a hardver alapú memóriavédelmet.

A biztonsági rés központi szerepet játszik a kifinomult, fejlett, tartós fenyegetés (APT) „Operation Triangulation” nulla kattintásos kampányban. jelentést a Kaspersky globális kutatási és elemzési csapatától (GReAT).

A Operation Triangulation iOS kiberkémkedési kémkampány 2019 óta létezik, és számos sebezhetőséget használt fel nulla napon belül az iPhone-ok biztonsági intézkedéseinek megkerülésére, ami tartós kockázatot jelent a felhasználók magánéletére és biztonságára nézve. A célpontok között orosz diplomaták és más tisztviselők, valamint magánvállalkozások, például maga a Kaspersky is szerepeltek.

Júniusban a Kaspersky kiadta a jelentést további részleteket kínál a kampányban használt TriangleDB spyware implantátumról, kiemelve számos egyedi képességet, például a jövőben telepíthető letiltott funkciókat.

Ezen a héten a csapat a németországi Hamburgban, a 37. Káosz Kommunikációs Kongresszuson mutatta be legfrissebb eredményeiket, „a legkifinomultabb támadási láncnak” nevezve, amelyet eddig használtak a műveletben.

A nulla kattintásos támadás az iPhone iMessage alkalmazására irányul, amely iOS 16.2-ig terjedő iOS-verziókra irányul. Amikor először látták, négy nulla napot használt ki bonyolultan felépített támadási rétegekkel.

Az „Operation Triangulation” Zero-Click Mobile Attack belsejében

A támadás ártatlanul kezdődik, amikor a rosszindulatú szereplők iMessage mellékletet küldenek, kihasználva a távoli kódvégrehajtás (RCE) sebezhetőségét. CVE-2023 41990-.

Ez az exploit az Apple kizárólagos, dokumentálatlan ADJUST TrueType betűtípus-utasítását célozza meg, amely a kilencvenes évek eleje óta létezik, egy későbbi javítás előtt.

A támadási szekvencia ezután mélyebbre ás, kihasználva a visszatérés/ugrás orientált programozást és az NSExpression/NSPredicate lekérdezési nyelvi szakaszokat a JavaScriptCore könyvtár manipulálásához.

A támadók privilegizált eszkalációs exploitot ágyaztak be a JavaScriptbe, amelyet gondosan elfedtek, hogy elrejtse a tartalmat, amely körülbelül 11,000 XNUMX kódsort ölel fel.

Ez a bonyolult JavaScript-kizsákmányoló manőver a JavaScriptCore memóriáján keresztül hajtja végre a natív API-funkciókat a JavaScriptCore hibakereső funkciójának a DollarVM ($vm) kihasználásával.

A következőként nyomon követett egész szám túlcsordulási sebezhetőségének kihasználása CVE-2023 32434- Az XNU memórialeképezési rendszerhívásain belül a támadók felhasználói szinten soha nem látott olvasási/írási hozzáférést kapnak az eszköz fizikai memóriájához.

Ezen túlmenően megfelelően megkerülik az oldalvédelmi réteget (PPL) a hardveres memórialeképezett I/O (MMIO) regiszterek segítségével, ami aggasztó biztonsági rés. nulladik napként használta ki az Operation Triangulation csoport de végül úgy címezték meg CVE-2023 38606- az Apple által.

Amikor behatolnak az eszköz védelmébe, a támadók szelektív irányítást gyakorolnak az IMAgent folyamat elindításával, és egy rakományt injektálnak a kizsákmányolás nyomainak eltávolítására.

Ezt követően egy láthatatlan Safari folyamatot indítanak el, amely a kihasználás következő szakaszát tartalmazó weboldalra irányítja át.

A weboldal áldozatellenőrzést hajt végre, és sikeres hitelesítés esetén Safari kizsákmányolást indít el, a használatával CVE-2023 32435- shellkód végrehajtásához.

Ez a shellkód egy újabb kernel-exploitot aktivál egy Mach objektumfájl formájában, felhasználva a korábbi szakaszokban használt két CVE-t (CVE-2023-32434 és CVE-2023-38606).

Miután megszerezték a root jogosultságokat, a támadók további lépéseket hajtanak végre, végül kémprogramokat telepítenek.

Egyre kifinomultabb az iPhone kibertámadások terén

A jelentés megjegyzi, hogy a bonyolult, többlépcsős támadás példátlan kifinomultságot mutat, kihasználva az iOS-eszközök különböző sebezhetőségeit, és növeli a kiberfenyegetések változó környezetével kapcsolatos aggodalmakat.

Boris Larin, a Kaspersky vezető biztonsági kutatója kifejti, hogy az új hardveres rés valószínűleg a „biztonság az ismeretlenségen keresztül” elvén alapul, és valószínűleg tesztelésre vagy hibakeresésre szolgál.

„A kezdeti nulla kattintásos iMessage támadást és az azt követő jogosultságkiterjesztést követően a támadók kihasználták a funkciót a hardveralapú biztonsági védelem megkerülésére és a védett memóriaterületek tartalmának manipulálására” – mondja. "Ez a lépés kulcsfontosságú volt az eszköz feletti teljes irányítás megszerzéséhez."

Hozzáteszi, hogy a Kaspersky csapatának tudomása szerint ezt a funkciót nem dokumentálták nyilvánosan, és a firmware sem használja, ami jelentős kihívást jelent a hagyományos biztonsági módszerekkel történő észlelésében és elemzésében.

„Ha már iOS-eszközökről beszélünk, ezeknek a rendszereknek a zártsága miatt nagyon nehéz észlelni az ilyen támadásokat” – mondja Larin. „Ezekhez az egyetlen elérhető észlelési módszer a hálózati forgalom elemzése és az iTunes segítségével készített eszközmentések kriminalisztikai elemzése.”

Elmondja, hogy ezzel szemben az asztali és laptop macOS rendszerek nyitottabbak, így ezekre hatékonyabb észlelési módszerek állnak rendelkezésre.

„Ezekre az eszközökre telepíthető végpont észlelés és válasz (EDR) olyan megoldásokat, amelyek segíthetnek az ilyen támadások észlelésében” – jegyzi meg Larin.

Azt javasolja, hogy a biztonsági csapatok rendszeresen frissítsék operációs rendszerüket, alkalmazásaikat és víruskereső szoftvereiket; javítsa ki az ismert sebezhetőségeket; és hozzáférést biztosítanak SOC-csapataiknak a legújabb fenyegetési hírszerzéshez.

"Végezzen be EDR-megoldásokat az incidensek végpont-szintű észleléséhez, kivizsgálásához és időben történő orvoslásához, naponta indítsa újra az állandó fertőzéseket, tiltsa le az iMessage-t és a Facetime-ot a kattintás nélküli kihasználás kockázatának csökkentése érdekében, és azonnal telepítse az iOS frissítéseit, hogy megvédje magát az ismert sebezhetőségektől." Larin hozzáteszi.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections