作者 Lyeuiechang (誠誠小屁孩)
標題 [情報] 卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻
時間 Fri Dec 29 01:23:22 2023


------------------------------------------------------------------------------
國外消息至少附上簡易翻譯,國內消息請附上介紹或心得。
若明顯僅複製貼上、有洗文章之嫌者,退文處置。
未使用預設格式及填入應有資料將刪除。

越獄(JB)相關情報請使用[越獄]類別。
App介紹、特價或限時免費情報請使用[iAPP]類別

未使用正確分類及格式將刪除文章。
發文前請詳讀板規,以免誤踩板規。
------------------------------------------------------------------------------
以上訊息確認後請Ctrl + y 刪除

【情報來源】 iThome
原網址:https://www.ithome.com.tw/news/160590
卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻擊鏈細節 | iThome
[圖]
卡巴斯基試圖釐清駭客如何串連4個蘋果零時差漏洞,發動以iOS裝置為目標的攻擊行動Operation Triangulation ...

 
(原始未刪減的網址,未提供者水桶60日)

短網址:
(若原網址過長時請儘可能提供短網址,反之免提供)

【情報/優惠內容】(國外文章請附上簡單翻譯)

卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻擊鏈細節

卡巴斯基試圖釐清駭客如何串連4個蘋果零時差漏洞,發動以iOS裝置為目標的攻擊行動
Operation Triangulation

文/陳曉莉 | 2023-12-28發表

https://i.imgur.com/6fDPyGo.jpg
[圖]

資安業者卡巴斯基(Kaspersky)在今年6月揭露了一個以iOS裝置為目標的攻擊行動
Operation Triangulation,當時僅說駭客可藉由傳送一個帶有附件的iMessage訊息予受
害者,就能觸發遠端程式攻擊漏洞,並未公布漏洞細節,但本周卡巴斯基公開了
Operation Triangulation所使用的4個零時差漏洞,還說這是他們自蘋果、微軟、Adobe
及Google等產品中所發現的逾30個零時差漏洞中,所見過最複雜的攻擊鏈,其中的
CVE-2023-38606到底是如何被濫用的,迄今仍是個謎團。

Operation Triangulation利用了4個零時差漏洞,分別是位於FontParser中的遠端程式攻
擊漏洞CVE-2023-41990,核心中的整數溢位漏洞CVE-2023-32434,核心中的可用來繞過頁
面保護層的CVE-2023-38606漏洞,以及存在於WebKit中可造成任意程式執行的記憶體毀損
漏洞CVE-2023-32435。


值得注意的是,卡巴斯基發現Operation Triangulation最古老的感染痕跡發生在2019年
,所適用的最新iOS版本為 iOS 16.2,而蘋果一直到今年6月才修補它們,意謂著駭客早
已偷偷滲透iMessage超過4年。


分析顯示,駭客先是藉由傳送惡意的iMessage附件來利用CVE-2023-41990漏洞,以執行一
個以JavaScript撰寫的權限擴張攻擊程式,接著再利用CVE-2023-32434 漏洞取得記憶體
的讀寫權限,再以CVE-2023-38606漏洞繞過頁面保護層(Page Protection Layer),在
成功攻擊上述3個漏洞之後,駭客即可對裝置執行任何操作,包括執行間諜軟體,然而,
駭客卻選擇了注入一個酬載,並清除所有攻擊痕跡,再於隱形模式執行了一個Safari程序
,以驗證受害者,檢查通過之後才繼續利用下一個位於WebKit中的CVE-2023-32435漏洞以
執行Shellcode,接著駭客即重複透過先前的漏洞來載入惡意程式。


這除了是卡巴斯基團隊所見過的最複雜的攻擊鏈之外,即使該團隊Operation
Triangulation已有數月之久,但仍無法解開有關CVE-2023-38606漏洞的謎團。

研究人員解釋,最近的iPhone針對核心記憶體的敏感區域採用了基於硬體的安全保護,以
讓駭客就算能夠讀寫核心記憶體,也無法控制整個裝置,然而,CVE-2023-38606漏洞的存
在是因為駭客利用了蘋果系統單晶片上的另一個硬體功能來繞過此一基於硬體的安全保護


具體而言,當駭客將資料、位址及資料雜湊寫入該晶片上未被韌體使用的硬體暫存器時,
就能在寫入資料至特定的位址時,繞過基於硬體的記憶體保護。因為相關的硬體暫存器並
未受到韌體的監管或保護。


研究人員的疑惑在於,此一硬體功能從何而來?如果蘋果的韌體都未使用它,駭客又如何
得知怎麼操控它?最可能的解釋是它可能是工廠或蘋果工程師用來測試或除錯的,或許先
前曾不小心出現在韌體中,之後又被移除。


卡巴斯基認為,CVE-2023-38606漏洞彰顯了一件事,這些基於硬體的先進保護機制,只要
有硬體功能得以繞過,在面臨尖端駭客時也是沒用的。此外,硬體安全往往仰賴於隱蔽的
安全,使得它的逆向工程比軟體更難,但這是一種有缺陷的方式,因為所有的秘密遲早都
會被揭露,藉由隱蔽所實現的安全永遠不可能真正安全。


【介紹或心得】

卡巴斯基部落格原文:

Operation Triangulation: The last (hardware) mystery
https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
Operation Triangulation: The last (hardware) mystery | Securelist
[圖]
Recent iPhone models have additional hardware-based security protection for sensitive regions of the kernel memory. We discovered that to bypass this  ...

 

    If we try to describe this feature and how attackers use it, it all comes
down to this: attackers are able to write the desired data to the desired
physical address with [the] bypass of [a] hardware-based memory protection by
writing the data, destination address and hash of data to unknown, not used
by the firmware, hardware registers of the chip.

    Our guess is that this unknown hardware feature was most likely intended
to be used for debugging or testing purposes by Apple engineers or the
factory, or was included by mistake. Since this feature is not used by the
firmware, we have no idea how attackers would know how to use it

https://i.imgur.com/BnAIwnk.png
[圖]

國外新聞:

4-year campaign backdoored iPhones using possibly the most advanced exploit
ever
https://arstechnica.com/security/2023...geted-secret-hardware-feature/
4-year campaign backdoored iPhones using possibly the most advanced exploit ever | Ars Technica
[圖]
"Triangulation" infected dozens of iPhones belonging to employees of Moscow-based Kaspersky. ...

 

這次的攻擊主要由 4 個零時差漏洞的交互作用下達到攻擊者的目的,
其中最讓人疑惑的是 CVE-2023-38606 ,
攻擊者知道利用 GPU 協處理器附近未被官方文件記載的記憶體位置進行讀寫,
這些記憶體位置主要與 ARM CoreSight MMIO 暫存器有關,
為蘋果所自定義的,主要是為了 Debug 使用。

另外這些記憶體位置也沒有被系統韌體所使用,

也就是一個出貨之後可能從來都不會被使用的閒置記體體空間,

攻擊者究竟是如何在沒有官方文件的情況下:
1) 知道該記憶體位置可以寫入
2) 知道撰寫時要從這個角度出發

且該暫存器所使用的演算法也非常的簡易,
僅由一個寫死的 sbox 的查表組成,
很容易被試出來。

Asahi Linux 作者則提到這應該與 ECC 檢查有關,
且它的演算法跟任天堂的 Wii 相當類似。

https://social.treehouse.systems/@marcan/111655847458820583

 

另外他也認為最大的謎團在於如何知道要從這個角度下手,
比較大的可能性是蘋果內部的文件外流導致,
或者在某一個版本流出了這方面的資訊讓攻擊者有方向可以著手。

蘋果目前處理的方案為把那幾個被攻擊使用的記憶體位置直接標記成 DENY,
但這方面的攻擊恐將不會就此結束,
因為若有人又在附近其他的位置找到一樣的漏洞,
便能使用類似的攻擊手法繼續進行攻擊。

這個未使用記憶體已確認出現在以下處理器型號:

arm64e: A12-A16 & M1-M2 (A17 Pro 仍待確認)

此為硬體級漏洞,無法透過升級系統徹底消除。
(目前也只是部分標記並強制拒絕存取)

另目前仍不知道攻擊者可能隸屬於哪一個組織,
但是目前已知被攻擊的對象為俄羅斯的外交單位。

以上。

--
Lyeuiechang: [新聞]有狼師一直戳女學森(.)(.)而被家長吉上法院...12/04 23:42
Xhocer:                               )  (12/04 23:44
xj654m3:                             ( Y )12/04 23:46
Xhocer:                               \|/12/04 23:48
xj654m3:                   (╮⊙▽⊙)ノ |||12/05 00:47
Lyeuiechang:                          /|\╰╮o( ̄▽ ̄///)<12/05 01:17

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.87.99 (臺灣)
※ 作者: Lyeuiechang 2023-12-29 01:23:22
※ 文章代碼(AID): #1bZQyEng (iOS)
※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1703784206.A.C6A.html
※ 編輯: Lyeuiechang (123.192.87.99 臺灣), 12/29/2023 01:31:23
hsupeter92: iOS 都封閉不讓人檢視漏洞
這點 android 就是大家集思廣益幫忙抓出
iOS 都一定要等到蘋果自己發現或是有人告訴他們1F 12/29 01:43
HRHSaxon: 樓上在說啥==4F 12/29 09:50
puppy20308: 安卓評漏洞就像太監談做愛一樣5F 12/29 10:24
Crios: 蘋果沒這個問題!6F 12/29 11:01
Birdy: 一樓資安大師、系統達人、評論界最後的良心、消費者的救世主、隱私界最後一道防線7F 12/29 11:24
ATand: 想知道要怎麼從iOS攻擊其他系統,要先破解USB權限嗎?
還是要從Safari遠端或植入型的模式?9F 12/29 11:30
bespace: 樓上..?
我是指1樓11F 12/29 12:24
hsupeter92: 我的意思是今天幸好今天卡巴斯基有說出來
如果沒有說出來恐怕這漏洞還會存在很久
但如果是 android 可能不到一年內就能抓出來了
android 這點就不錯是因為馬上就會有人指正13F 12/29 12:44
Dracarys: iOS的XNU也開源的啊,Android開源的部分也就比iOS多一點點而已17F 12/29 13:01
siegfriedlin: 所以這個是要點開pdf是嗎?
點開pdf之後他就可以控制整台iphone19F 12/29 13:23
redcross: 即使你沒點開PDF文件,iPhone也會中毒
而且駭客入侵手機後,他會刪除這個iMessage毒訊息
所以你根本不會知道手機被駭客傳iMessage病毒入侵了21F 12/29 13:43
adon0313: 爽啦
幾百年沒越獄進展了24F 12/29 18:44
siegfriedlin: 感覺有內鬼…一般駭客沒那麼厲害(?)26F 12/30 01:38
lmanaka: 沒在用iMessage27F 12/30 09:13

--
作者 Lyeuiechang 的最新發文:
點此顯示更多發文記錄