[新聞] 卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻

行動通訊

37210
──────────────────────────────────────
1.原文連結:連結過長者請使用短網址。
https://www.ithome.com.tw/news/160590
2.原文標題:標題須完整寫出且須符合內文(否則依板規刪除並水桶)。
卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻擊鏈細節
3.原文來源(媒體/作者):例:蘋果日報/王大明(若無署名作者則不須)
iThome/陳曉莉
4.原文內容:請刊登完整全文(否則依板規刪除並水桶)。
卡巴斯基試圖釐清駭客如何串連4個蘋果零時差漏洞,發動以iOS裝置為目標的攻擊行動
Operation Triangulation

2023-12-28發表

https://i.imgur.com/6fDPyGo.jpg


資安業者卡巴斯基(Kaspersky)在今年6月揭露了一個以iOS裝置為目標的攻擊行動
Operation Triangulation,當時僅說駭客可藉由傳送一個帶有附件的iMessage訊息予受
害者,就能觸發遠端程式攻擊漏洞,並未公布漏洞細節,但本周卡巴斯基公開了
Operation Triangulation所使用的4個零時差漏洞,還說這是他們自蘋果、微軟、Adobe
及Google等產品中所發現的逾30個零時差漏洞中,所見過最複雜的攻擊鏈,其中的
CVE-2023-38606到底是如何被濫用的,迄今仍是個謎團。

Operation Triangulation利用了4個零時差漏洞,分別是位於FontParser中的遠端程式攻
擊漏洞CVE-2023-41990,核心中的整數溢位漏洞CVE-2023-32434,核心中的可用來繞過頁
面保護層的CVE-2023-38606漏洞,以及存在於WebKit中可造成任意程式執行的記憶體毀損
漏洞CVE-2023-32435。

值得注意的是,卡巴斯基發現Operation Triangulation最古老的感染痕跡發生在2019年
,所適用的最新iOS版本為 iOS 16.2,而蘋果一直到今年6月才修補它們,意謂著駭客早
已偷偷滲透iMessage超過4年。

分析顯示,駭客先是藉由傳送惡意的iMessage附件來利用CVE-2023-41990漏洞,以執行一
個以JavaScript撰寫的權限擴張攻擊程式,接著再利用CVE-2023-32434 漏洞取得記憶體
的讀寫權限,再以CVE-2023-38606漏洞繞過頁面保護層(Page Protection Layer),在
成功攻擊上述3個漏洞之後,駭客即可對裝置執行任何操作,包括執行間諜軟體,然而,
駭客卻選擇了注入一個酬載,並清除所有攻擊痕跡,再於隱形模式執行了一個Safari程序
,以驗證受害者,檢查通過之後才繼續利用下一個位於WebKit中的CVE-2023-32435漏洞以
執行Shellcode,接著駭客即重複透過先前的漏洞來載入惡意程式。

這除了是卡巴斯基團隊所見過的最複雜的攻擊鏈之外,即使該團隊Operation
Triangulation已有數月之久,但仍無法解開有關CVE-2023-38606漏洞的謎團。

研究人員解釋,最近的iPhone針對核心記憶體的敏感區域採用了基於硬體的安全保護,以
讓駭客就算能夠讀寫核心記憶體,也無法控制整個裝置,然而,CVE-2023-38606漏洞的存
在是因為駭客利用了蘋果系統單晶片上的另一個硬體功能來繞過此一基於硬體的安全保護


具體而言,當駭客將資料、位址及資料雜湊寫入該晶片上未被韌體使用的硬體暫存器時,
就能在寫入資料至特定的位址時,繞過基於硬體的記憶體保護。因為相關的硬體暫存器並
未受到韌體的監管或保護。

研究人員的疑惑在於,此一硬體功能從何而來?如果蘋果的韌體都未使用它,駭客又如何
得知怎麼操控它?最可能的解釋是它可能是工廠或蘋果工程師用來測試或除錯的,或許先
前曾不小心出現在韌體中,之後又被移除。

卡巴斯基認為,CVE-2023-38606漏洞彰顯了一件事,這些基於硬體的先進保護機制,只要
有硬體功能得以繞過,在面臨尖端駭客時也是沒用的。此外,硬體安全往往仰賴於隱蔽的
安全,使得它的逆向工程比軟體更難,但這是一種有缺陷的方式,因為所有的秘密遲早都
會被揭露,藉由隱蔽所實現的安全永遠不可能真正安全。

5.心得/評論:內容須超過繁體中文30字(不含標點符號)。

卡巴斯基部落格原文:

Operation Triangulation: The last (hardware) mystery
https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/

If we try to describe this feature and how attackers use it, it all comes
down to this: attackers are able to write the desired data to the desired
physical address with [the] bypass of [a] hardware-based memory protection by
writing the data, destination address and hash of data to unknown, not used
by the firmware, hardware registers of the chip.

Our guess is that this unknown hardware feature was most likely intended
to be used for debugging or testing purposes by Apple engineers or the
factory, or was included by mistake. Since this feature is not used by the
firmware, we have no idea how attackers would know how to use it

https://i.imgur.com/BnAIwnk.png


國外新聞:

4-year campaign backdoored iPhones using possibly the most advanced exploit
ever
https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection
-campaign-targeted-secret-hardware-feature/

這次的攻擊主要由 4 個零時差漏洞的交互作用下達到攻擊者的目的,
其中最讓人疑惑的是 CVE-2023-38606 ,
攻擊者知道利用 GPU 協處理器附近未被官方文件記載的記憶體位置進行讀寫,
這些記憶體位置主要與 ARM CoreSight MMIO 暫存器有關,
為蘋果所自定義的,主要是為了 Debug 使用。

另外這些記憶體位置也沒有被系統韌體所使用,
也就是一個出貨之後可能從來都不會被使用的閒置記體體空間,
攻擊者究竟是如何在沒有官方文件的情況下:
1) 知道該記憶體位置可以寫入
2) 知道撰寫時要從這個角度出發

且該暫存器所使用的演算法也非常的簡易,
僅由一個寫死的 sbox 的查表組成,
很容易被試出來。

Asahi Linux 作者則提到這應該與 ECC 檢查有關,
且它的演算法跟任天堂的 Wii 相當類似。

https://social.treehouse.systems/@marcan/111655847458820583

另外他也認為最大的謎團在於如何知道要從這個角度下手,
比較大的可能性是蘋果內部的文件外流導致,
或者在某一個版本流出了這方面的資訊讓攻擊者有方向可以著手。

蘋果目前處理的方案為把那幾個被攻擊使用的記憶體位置直接標記成 DENY,
但這方面的攻擊恐將不會就此結束,
因為若有人又在附近其他的位置找到一樣的漏洞,
便能使用類似的攻擊手法繼續進行攻擊。

這個未使用記憶體已確認出現在以下處理器型號:

arm64e: A12-A16 & M1-M2 (A17 Pro 仍待確認)

此為硬體級漏洞,無法透過升級系統徹底消除。
(目前也只是部分標記並強制拒絕存取)

另目前仍不知道攻擊者可能隸屬於哪一個組織,
但是目前已知被攻擊的對象為俄羅斯的外交單位。

以上。

──────────────────────────────────────

--
Lyeuiechang: [新聞]有狼師一直戳女學森(.)(.)而被家長吉上法院...12/04 23:42
Xhocer: ) (12/04 23:44
xj654m3: ( Y )12/04 23:46
Xhocer: \|/12/04 23:48
xj654m3: (╮⊙▽⊙)ノ|||12/05 00:47
Lyeuiechang: /|\╰╮o( ̄▽ ̄///)<12/05 01:17

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.87.99 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1703784554.A.2A4.html
a275886791樓有內鬼 12/29 01:41
hsupeter922樓這點 android 就不錯就是有漏洞大家幫忙抓 12/29 01:45
labbat3樓韌體跟軟體有什麼差異呀 12/29 03:09
hsupeter924樓韌體是軟體跟硬體的橋樑,你可以這樣想 12/29 03:14
hsupeter925樓它就是非常低階的軟體,只處理一些直接的指令 12/29 03:19
hsupeter926樓比如對 CPU 就是能跑多少頻率 (就是 BIOS/UEFI 12/29 03:19
hsupeter927樓或是 SSD 的主控分配的順序 12/29 03:19
coneflwer8樓哀鳳好安全 12/29 06:24
aal9樓漏洞放給你打4年也沒事 當然是安全 12/29 06:27
ltytw10樓現在的javascript太強大了啦 12/29 07:12
NX999911樓推4樓 12/29 07:50
dansy12樓能拿到內部資料又遲遲不修復,不就蘋果自己搞的? 12/29 08:03
tonyian13樓這看起來就是因為apple 全採用封閉系統,然後又部 12/29 08:16
tonyian14樓分資料外流導致的,最安全的Apple (笑) 12/29 08:16
mstar15樓想到幾年前 Intel CPU 也發生類似狀況,很多主機板 12/29 08:24
mstar16樓相隔多年後緊急出新版韌體補漏洞、Windows 出 patch 12/29 08:25
mstar17樓;洞補起來但是運算效能大打折扣。 12/29 08:26
thomaschion18樓之前一堆人說卡巴是寫病毒的,現在進階了? 12/29 08:31
luis105637919樓這個比較好玩的是又可能可以越獄了 12/29 09:59
hsupeter9220樓對欸當年 checkra1n 一直用到 Xs 才被封掉 12/29 10:04
gameguy21樓卡巴斯基,繁體中文版沒有免費,反而簡體中文與英文 12/29 10:15
gameguy22樓有,先噓這家公司 12/29 10:15
square423樓看起來跟融毀漏洞不太一樣,融毀是對cpu快取的旁路 12/29 10:21
square424樓攻擊,這個是存取未使用的暫存器,當時降效能的韌 12/29 10:21
square425樓體修補應該也不適用這個漏洞 12/29 10:21
f39676144026樓12F 早在iOS12時就發現以色列公司 12/29 10:53
f39676144027樓寫的飛馬間諜病毒漏洞 Apple也是 12/29 10:53
f39676144028樓拖了N年才在iOS16修復漏洞 12/29 10:53
cvn2129樓是不是留給美國政府自己用的漏洞 12/29 11:11
aq98133430樓已知被攻擊單位為俄羅斯外交單位 12/29 11:34
更多新聞
[新聞] Google 新功能獨厚 iPhone 用戶?Gmail
[新聞] 電信三雄整併出發 NCC:挑戰網路資源調度
[新聞] 中國10月暢銷智能手機榜:蘋果iPhone15PM
[新聞] 開春第一砲!Samsung Galaxy A15 5G / A2
[新聞] 挑機看指標:2023年11月台灣銷售最好的二
[新聞] Galaxy AI is Coming!三星S24系列發表
[新聞] 哪一款是2023最佳安卓手機?6成網友都投
[新聞] Snapdragon 8G3 傳有三版本 Note 13 Turb