Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» обнаружили ранее неизвестную аппаратную функцию в айфонах Apple, критически важную вреализации кампании «ОперацияТриангуляция». Речь идёт об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе накристалле), спомощью которой атакующие обходили аппаратную защиту защищённых областей памяти ядра всмартфонах iPhone доверсии 16.6. Эксперты представили новые подробности ОперацииТриангуляция врамках конгресса ChaosCommunication Congress в Гамбурге.
Обнаруженная уязвимость представляет собой не используемую в прошивке аппаратную функцию, которая, скорее всего,предназначалась для тестирования или отладки. После того как жертва получала скрытое сообщение iMessage с zero-click эксплойтом во вложении и после того, как злоумышленники получали возможность исполнять код и повышали привилегии с помощью этого эксплойта, они использовали эту аппаратную функцию для обхода аппаратных средств защиты чипов Apple и манипулирования содержимым защищённых областей памяти. Этот шаг был очень важен для получения полного контроля над устройством. К настоящему времени Apple устранила эту уязвимость.
Насколько известно «Лаборатории Касперского», функция не была задокументирована. Она не используется в прошивке и еёбыло трудно обнаружить и проанализировать традиционными методами. Поскольку эта функция неиспользуемая, экспертам неизвестно, как злоумышленники догадались о способах её применения. Эксперты Глобальногоцентра исследований и анализа угроз «Лаборатории Касперского», которые занимались реверс-инжинирингом, тщательно проанализировали,как в iPhone интегрируются аппаратная и программная части. Особенно они сфокусировались наметоде ввода-вывода сотображением памяти (Memory-mapped I/O) — адресах, необходимых для обеспечения взаимодействия между центральным процессором и периферийными устройствами всистеме. Неизвестные адреса MMIO, применявшиеся злоумышленниками для обхода аппаратной защиты памяти ядра, не были обнаружены ниводном из диапазонов, определённых в файле дерева устройств. Это представляло собой серьёзную проблему. Кроме того, команде пришлось разобрать сложную схему работы системы на кристалле и её взаимодействия с операционной системой iOS, особенно вчасти управления памятью и механизмов защиты. Этот процесс включал в себя тщательное изучение различных файлов дерева устройств, исходных кодов, образов ядра и прошивок впоисках любых ссылок на эти адреса MMIO.
«Это не рядовая уязвимость. Из-за закрытого характера экосистемы iOS процесс её поиска был сложным и длительным, он требовал всестороннего понимания как аппаратной, такипрограммной архитектуры. Данная уязвимость доказывает, что даже самые современные аппаратные средства защиты бессильны перед лицом изощрённого злоумышленника, пока существуют аппаратные функции, позволяющие эти средства защиты обойти», — рассказывает Борис Ларин, ведущий исследователь киберугроз в«ЛабораторииКасперского».
Операция Триангуляция — это APT-кампания, которой подверглись iOS-устройства. «Лаборатория Касперского» сообщила летом 2023 года. Для атак использовался сложный метод распространения эксплойтов через сообщения в iMessage с использованием четырёх уязвимостей нулевого дня для устройств iOS до версии 16.2. При этом отпользователей не требовалось никаких действий. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. После уведомления от«Лаборатории Касперского» компания Apple официально выпустила обновления безопасности, которые устраняли четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Они затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на macOS, Apple TV и Apple Watch.
Подробный анализ всех уязвимостей и эксплойтов, использовавшихся вОперацииТриангуляция, содержится в отчёте https://securelist.ru/operation-triangulation-the-last-hardware-mystery/108683/.
Для защиты от целевых атак эксперты «Лаборатории Касперского» рекомендуют компаниям:
- регулярно обновлять операционную систему, приложения и антивирусное ПО, чтобывовремя устранять уязвимости;
- обеспечивать сотрудникам центра управления безопасностью (SOC) доступ кинформации об угрозах (TI). Например,напорталеKasperskyThreatIntelligenceможно получить данные о кибератаках, собранные «ЛабораториейКасперского» более чем за20 лет;
- повышать квалификацию сотрудников, отвечающих за безопасность, в том числе поновейшим целевым угрозам. В этом могут помочьонлайн-тренинги, разработанные ведущими экспертами «Лаборатории Касперского»;
- использоватьEDR-решениядля выявления и реагирования на инциденты на уровне конечных устройств, такие какKaspersky Endpoint Detection and Response;
- изучать уведомления о киберугрозах, предоставляемых сервисамиKasperskyIncidentResponse и Digital Forensics, для получения глубокой аналитики.