Eine bisher nicht dokumentierte Hardwarefunktion im iPhone System on a Chip (SoC) von Apple ermöglicht die Ausnutzung mehrerer Schwachstellen und ermöglicht es Angreifern schließlich, den hardwarebasierten Speicherschutz zu umgehen.
Laut a spielt die Schwachstelle eine zentrale Rolle in der hochentwickelten Zero-Click-Kampagne „Operation Triangulation“ für fortgeschrittene persistente Bedrohungen (APT). berichten vom Global Research and Analysis Team (GReAT) von Kaspersky.
Das Operation Triangulation iOS-Cyberspionage-Spionagekampagne existiert seit 2019 und hat mehrere Zero-Day-Schwachstellen ausgenutzt, um Sicherheitsmaßnahmen in iPhones zu umgehen, was ein anhaltendes Risiko für die Privatsphäre und Sicherheit der Benutzer darstellt. Zu den Zielen gehörten dort russische Diplomaten und andere Beamte sowie private Unternehmen wie Kaspersky selbst.
Im Juni veröffentlichte Kaspersky eine berichten Bietet zusätzliche Details zum TriangleDB-Spyware-Implantat, das in der Kampagne verwendet wird, und hebt zahlreiche einzigartige Funktionen hervor, beispielsweise deaktivierte Funktionen, die in Zukunft eingesetzt werden könnten.
Diese Woche stellte das Team seine neuesten Erkenntnisse auf dem 37. Chaos Communication Congress in Hamburg vor und nannte es „die ausgeklügeltste Angriffskette“, die es bisher bei der Operation gesehen hatte.
Der Zero-Click-Angriff richtet sich gegen die iMessage-App des iPhones und richtet sich an iOS-Versionen bis iOS 16.2. Als es zum ersten Mal entdeckt wurde, nutzte es vier Zero-Day-Angriffe mit kompliziert strukturierten Angriffsebenen aus.
Im Rahmen der Zero-Click-Mobile-Attacke „Operation Triangulation“.
Der Angriff beginnt harmlos, indem böswillige Akteure einen iMessage-Anhang senden und dabei die Schwachstelle Remote Code Execution (RCE) ausnutzen CVE-2023-41990.
Dieser Exploit zielt auf die undokumentierte ADJUST TrueType-Schriftartanweisung ab, die es exklusiv für Apple gibt und die seit den frühen Neunzigerjahren existierte, bevor ein späterer Patch veröffentlicht wurde.
Die Angriffssequenz geht dann tiefer und nutzt Return/Jump-orientierte Programmierung und NSExpression/NSPredicate-Abfragesprachenstufen, um die JavaScriptCore-Bibliothek zu manipulieren.
Die Angreifer haben einen privilegierten Eskalations-Exploit in JavaScript eingebettet und sorgfältig verschleiert, um seinen Inhalt zu verbergen, der etwa 11,000 Codezeilen umfasst.
Dieser komplizierte JavaScript-Exploit manövriert sich durch den Speicher von JavaScriptCore und führt native API-Funktionen aus, indem er die JavaScriptCore-Debugging-Funktion DollarVM ($vm) ausnutzt.
Ausnutzen einer Sicherheitsanfälligkeit bezüglich eines Ganzzahlüberlaufs, die als verfolgt wird CVE-2023-32434 Innerhalb der Speicherzuordnungs-Systemaufrufe von XNU erhalten die Angreifer dann beispiellosen Lese-/Schreibzugriff auf den physischen Speicher des Geräts auf Benutzerebene.
Darüber hinaus umgehen sie geschickt die Page Protection Layer (PPL) mithilfe von MMIO-Registern (Hardware Memory Mapped I/O), eine besorgniserregende Schwachstelle von der Operation Triangulation-Gruppe als Zero-Day ausgenutzt aber schließlich angesprochen als CVE-2023-38606 von Apple.
Nachdem die Angreifer die Abwehrmechanismen des Geräts durchbrochen haben, üben sie eine selektive Kontrolle aus, indem sie den IMAgent-Prozess initiieren und eine Nutzlast einschleusen, um alle Spuren der Ausnutzung zu beseitigen.
Anschließend initiieren sie einen unsichtbaren Safari-Prozess, der auf eine Webseite umgeleitet wird, auf der sich die nächste Stufe des Exploits befindet.
Die Webseite führt eine Opferüberprüfung durch und löst bei erfolgreicher Authentifizierung einen Safari-Exploit aus CVE-2023-32435 um einen Shellcode auszuführen.
Dieser Shellcode aktiviert einen weiteren Kernel-Exploit in Form einer Mach-Objektdatei und nutzt zwei der gleichen CVEs, die in früheren Phasen verwendet wurden (CVE-2023-32434 und CVE-2023-38606).
Sobald die Angreifer Root-Rechte erhalten, orchestrieren sie weitere Schritte und installieren schließlich Spyware.
Eine wachsende Komplexität bei iPhone-Cyberangriffen
Der Bericht stellte fest, dass der komplexe, mehrstufige Angriff ein beispielloses Maß an Raffinesse aufweist, verschiedene Schwachstellen auf iOS-Geräten ausnutzt und Bedenken hinsichtlich der sich entwickelnden Landschaft von Cyber-Bedrohungen schürt.
Boris Larin, leitender Sicherheitsforscher bei Kaspersky, erklärt, dass die neue Hardware-Schwachstelle möglicherweise auf dem Prinzip „Sicherheit durch Unklarheit“ basiert und möglicherweise zum Testen oder Debuggen gedacht war.
„Nach dem ersten Null-Klick-iMessage-Angriff und der anschließenden Rechteausweitung nutzten die Angreifer die Funktion, um hardwarebasierte Sicherheitsmaßnahmen zu umgehen und den Inhalt geschützter Speicherbereiche zu manipulieren“, sagt er. „Dieser Schritt war entscheidend, um die volle Kontrolle über das Gerät zu erlangen.“
Er fügt hinzu, dass diese Funktion nach Kenntnis des Kaspersky-Teams nicht öffentlich dokumentiert wurde und von der Firmware nicht verwendet wird, was eine erhebliche Herausforderung bei der Erkennung und Analyse mit herkömmlichen Sicherheitsmethoden darstellt.
„Wenn wir über iOS-Geräte sprechen, ist es aufgrund der geschlossenen Natur dieser Systeme wirklich schwierig, solche Angriffe zu erkennen“, sagt Larin. „Die einzigen verfügbaren Erkennungsmethoden hierfür sind die Durchführung einer Netzwerkverkehrsanalyse und eine forensische Analyse der mit iTunes erstellten Gerätesicherungen.“
Er erklärt, dass Desktop- und Laptop-MacOS-Systeme im Gegensatz dazu offener seien und daher effektivere Erkennungsmethoden für diese verfügbar seien.
„Auf diesen Geräten ist eine Installation möglich Endpunkterkennung und -reaktion (EDR) Lösungen, die helfen können, solche Angriffe zu erkennen“, bemerkt Larin.
Er empfiehlt, dass Sicherheitsteams ihr Betriebssystem, ihre Anwendungen und ihre Antivirensoftware regelmäßig aktualisieren; alle bekannten Schwachstellen beheben; und bieten ihren SOC-Teams Zugriff auf die neuesten Bedrohungsinformationen.
„Implementieren Sie EDR-Lösungen für die Erkennung, Untersuchung und zeitnahe Behebung von Vorfällen auf Endpunktebene, starten Sie täglich neu, um hartnäckige Infektionen zu unterbinden, deaktivieren Sie iMessage und Facetime, um Zero-Click-Exploit-Risiken zu reduzieren, und installieren Sie umgehend iOS-Updates, um sich vor bekannten Schwachstellen zu schützen“, Larin fügt hinzu.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
