[情報] 卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻

------------------------------------------------------------------------------ 國外消息至少附上簡易翻譯，國內消息請附上介紹或心得。 若明顯僅複製貼上、有洗文章之嫌者，退文處置。 未使用預設格式及填入應有資料將刪除。 越獄(JB)相關情報請使用[越獄]類別。 App介紹、特價或限時免費情報請使用[iAPP]類別 未使用正確分類及格式將刪除文章。 發文前請詳讀板規，以免誤踩板規。 ------------------------------------------------------------------------------ 以上訊息確認後請Ctrl + y 刪除 【情報來源】 iThome 原網址：https://www.ithome.com.tw/news/160590 （原始未刪減的網址，未提供者水桶60日） 短網址： （若原網址過長時請儘可能提供短網址，反之免提供） 【情報/優惠內容】(國外文章請附上簡單翻譯) 卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻擊鏈細節 卡巴斯基試圖釐清駭客如何串連4個蘋果零時差漏洞，發動以iOS裝置為目標的攻擊行動 Operation Triangulation 文/陳曉莉 | 2023-12-28發表 https://i.imgur.com/6fDPyGo.jpg 資安業者卡巴斯基（Kaspersky）在今年6月揭露了一個以iOS裝置為目標的攻擊行動 Operation Triangulation，當時僅說駭客可藉由傳送一個帶有附件的iMessage訊息予受 害者，就能觸發遠端程式攻擊漏洞，並未公布漏洞細節，但本周卡巴斯基公開了 Operation Triangulation所使用的4個零時差漏洞，還說這是他們自蘋果、微軟、Adobe 及Google等產品中所發現的逾30個零時差漏洞中，所見過最複雜的攻擊鏈，其中的 CVE-2023-38606到底是如何被濫用的，迄今仍是個謎團。 Operation Triangulation利用了4個零時差漏洞，分別是位於FontParser中的遠端程式攻 擊漏洞CVE-2023-41990，核心中的整數溢位漏洞CVE-2023-32434，核心中的可用來繞過頁 面保護層的CVE-2023-38606漏洞，以及存在於WebKit中可造成任意程式執行的記憶體毀損 漏洞CVE-2023-32435。 值得注意的是，卡巴斯基發現Operation Triangulation最古老的感染痕跡發生在2019年 ，所適用的最新iOS版本為 iOS 16.2，而蘋果一直到今年6月才修補它們，意謂著駭客早 已偷偷滲透iMessage超過4年。 分析顯示，駭客先是藉由傳送惡意的iMessage附件來利用CVE-2023-41990漏洞，以執行一 個以JavaScript撰寫的權限擴張攻擊程式，接著再利用CVE-2023-32434 漏洞取得記憶體 的讀寫權限，再以CVE-2023-38606漏洞繞過頁面保護層（Page Protection Layer），在 成功攻擊上述3個漏洞之後，駭客即可對裝置執行任何操作，包括執行間諜軟體，然而， 駭客卻選擇了注入一個酬載，並清除所有攻擊痕跡，再於隱形模式執行了一個Safari程序 ，以驗證受害者，檢查通過之後才繼續利用下一個位於WebKit中的CVE-2023-32435漏洞以 執行Shellcode，接著駭客即重複透過先前的漏洞來載入惡意程式。 這除了是卡巴斯基團隊所見過的最複雜的攻擊鏈之外，即使該團隊Operation Triangulation已有數月之久，但仍無法解開有關CVE-2023-38606漏洞的謎團。 研究人員解釋，最近的iPhone針對核心記憶體的敏感區域採用了基於硬體的安全保護，以 讓駭客就算能夠讀寫核心記憶體，也無法控制整個裝置，然而，CVE-2023-38606漏洞的存 在是因為駭客利用了蘋果系統單晶片上的另一個硬體功能來繞過此一基於硬體的安全保護 。 具體而言，當駭客將資料、位址及資料雜湊寫入該晶片上未被韌體使用的硬體暫存器時， 就能在寫入資料至特定的位址時，繞過基於硬體的記憶體保護。因為相關的硬體暫存器並 未受到韌體的監管或保護。 研究人員的疑惑在於，此一硬體功能從何而來？如果蘋果的韌體都未使用它，駭客又如何 得知怎麼操控它？最可能的解釋是它可能是工廠或蘋果工程師用來測試或除錯的，或許先 前曾不小心出現在韌體中，之後又被移除。 卡巴斯基認為，CVE-2023-38606漏洞彰顯了一件事，這些基於硬體的先進保護機制，只要 有硬體功能得以繞過，在面臨尖端駭客時也是沒用的。此外，硬體安全往往仰賴於隱蔽的 安全，使得它的逆向工程比軟體更難，但這是一種有缺陷的方式，因為所有的秘密遲早都 會被揭露，藉由隱蔽所實現的安全永遠不可能真正安全。 【介紹或心得】 卡巴斯基部落格原文： Operation Triangulation: The last (hardware) mystery https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ If we try to describe this feature and how attackers use it, it all comes down to this: attackers are able to write the desired data to the desired physical address with [the] bypass of [a] hardware-based memory protection by writing the data, destination address and hash of data to unknown, not used by the firmware, hardware registers of the chip. Our guess is that this unknown hardware feature was most likely intended to be used for debugging or testing purposes by Apple engineers or the factory, or was included by mistake. Since this feature is not used by the firmware, we have no idea how attackers would know how to use it https://i.imgur.com/BnAIwnk.png 國外新聞： 4-year campaign backdoored iPhones using possibly the most advanced exploit ever https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/ 這次的攻擊主要由 4 個零時差漏洞的交互作用下達到攻擊者的目的， 其中最讓人疑惑的是 CVE-2023-38606 ， 攻擊者知道利用 GPU 協處理器附近未被官方文件記載的記憶體位置進行讀寫， 這些記憶體位置主要與 ARM CoreSight MMIO 暫存器有關， 為蘋果所自定義的，主要是為了 Debug 使用。 另外這些記憶體位置也沒有被系統韌體所使用， 也就是一個出貨之後可能從來都不會被使用的閒置記體體空間， 攻擊者究竟是如何在沒有官方文件的情況下： 1) 知道該記憶體位置可以寫入 2) 知道撰寫時要從這個角度出發 且該暫存器所使用的演算法也非常的簡易， 僅由一個寫死的 sbox 的查表組成， 很容易被試出來。 Asahi Linux 作者則提到這應該與 ECC 檢查有關， 且它的演算法跟任天堂的 Wii 相當類似。 https://social.treehouse.systems/@marcan/111655847458820583 另外他也認為最大的謎團在於如何知道要從這個角度下手， 比較大的可能性是蘋果內部的文件外流導致， 或者在某一個版本流出了這方面的資訊讓攻擊者有方向可以著手。 蘋果目前處理的方案為把那幾個被攻擊使用的記憶體位置直接標記成 DENY， 但這方面的攻擊恐將不會就此結束， 因為若有人又在附近其他的位置找到一樣的漏洞， 便能使用類似的攻擊手法繼續進行攻擊。 這個未使用記憶體已確認出現在以下處理器型號： arm64e: A12-A16 & M1-M2 (A17 Pro 仍待確認) 此為硬體級漏洞，無法透過升級系統徹底消除。 (目前也只是部分標記並強制拒絕存取) 另目前仍不知道攻擊者可能隸屬於哪一個組織， 但是目前已知被攻擊的對象為俄羅斯的外交單位。 以上。 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.87.99 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1703784206.A.C6A.html