Фото: appleinsider.ru
Эксперты «Лаборатории Касперского» обнаружили ранее неизвестную аппаратную функцию в айфонах Apple, критически важную в реализации кампании «Операция Триангуляция», передает DKNews.kz.
Речь идёт об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе на кристалле), с помощью которой атакующие обходили аппаратную защиту защищённых областей памяти ядра в смартфонах iPhone до версии 16.6. Эксперты представили новые подробности Операции Триангуляция в рамках конгресса Chaos Communication Congress в Гамбурге.
Обнаруженная уязвимость представляет собой не используемую в прошивке аппаратную функцию, которая, скорее всего, предназначалась для тестирования или отладки. После того как жертва получала скрытое сообщение iMessage с zero-click эксплойтом во вложении и после того, как злоумышленники получали возможность исполнять код и повышали привилегии с помощью этого эксплойта, они использовали эту аппаратную функцию для обхода аппаратных средств защиты чипов Apple и манипулирования содержимым защищённых областей памяти. Этот шаг был очень важен для получения полного контроля над устройством. К настоящему времени Apple устранила эту уязвимость.
Насколько известно «Лаборатории Касперского», функция не была задокументирована. Она не используется в прошивке и её было трудно обнаружить и проанализировать традиционными методами. Поскольку эта функция неиспользуемая, экспертам неизвестно, как злоумышленники догадались о способах её применения. Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского», которые занимались реверс-инжинирингом, тщательно проанализировали, как в iPhone интегрируются аппаратная и программная части. Особенно они сфокусировались на методе ввода-вывода с отображением памяти (Memory-mapped I/O) — адресах, необходимых для обеспечения взаимодействия между центральным процессором и периферийными устройствами в системе. Неизвестные адреса MMIO, применявшиеся злоумышленниками для обхода аппаратной защиты памяти ядра, не были обнаружены ни в одном из диапазонов, определённых в файле дерева устройств. Это представляло собой серьёзную проблему. Кроме того, команде пришлось разобрать сложную схему работы системы на кристалле и её взаимодействия с операционной системой iOS, особенно в части управления памятью и механизмов защиты. Этот процесс включал в себя тщательное изучение различных файлов дерева устройств, исходных кодов, образов ядра и прошивок в поисках любых ссылок на эти адреса MMIO.
«Это не рядовая уязвимость. Из-за закрытого характера экосистемы iOS процесс её поиска был сложным и длительным, он требовал всестороннего понимания как аппаратной, так и программной архитектуры. Данная уязвимость доказывает, что даже самые современные аппаратные средства защиты бессильны перед лицом изощрённого злоумышленника, пока существуют аппаратные функции, позволяющие эти средства защиты обойти» Борис Ларин, ведущий исследователь киберугроз в «Лаборатории Касперского»
Операция Триангуляция — это APT-кампания, которой подверглись iOS-устройства. «Лаборатория Касперского» сообщила о ней летом 2023 года. Для атак использовался сложный метод распространения эксплойтов через сообщения в iMessage с использованием четырёх уязвимостей нулевого дня для устройств iOS до версии 16.2. При этом от пользователей не требовалось никаких действий. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. После уведомления от «Лаборатории Касперского» компания Apple официально выпустила обновления безопасности, которые устраняли четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Они затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на mac OS, Apple TV и Apple Watch.
Подробный анализ всех уязвимостей и эксплойтов, использовавшихся в Операции Триангуляция, содержится в отчёте.
Для защиты от целевых атак эксперты «Лаборатории Касперского» рекомендуют компаниям:
- регулярно обновлять операционную систему, приложения и антивирусное ПО, чтобы вовремя устранять уязвимости;
- обеспечивать сотрудникам центра управления безопасностью (SOC) доступ к информации об угрозах (TI). Например, на портале Kaspersky Threat Intelligence можно получить данные о кибератаках, собранные «Лабораторией Касперского» более чем за 20 лет;
- повышать квалификацию сотрудников, отвечающих за безопасность, в том числе по новейшим целевым угрозам. В этом могут помочь онлайн-тренинги, разработанные ведущими экспертами «Лаборатории Касперского»;
- использовать EDR-решения для выявления и реагирования на инциденты на уровне конечных устройств, такие как Kaspersky Endpoint Detection and Response;
- изучать уведомления о киберугрозах, предоставляемых сервисами Kaspersky Incident Response и Digital Forensiс, для получения глубокой аналитики.