Une fonctionnalité matérielle jusqu’alors non documentée du système iPhone sur puce (SoC) d’Apple permet d’exploiter plusieurs vulnérabilités, permettant éventuellement aux attaquants de contourner la protection matérielle de la mémoire.
La vulnérabilité joue un rôle central dans la campagne sophistiquée sans clic de menace persistante avancée (APT) « Opération Triangulation », selon un rapport de l’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT).
La Campagne d'espionnage de cyberespionnage iOS de l'Opération Triangulation existe depuis 2019 et a utilisé plusieurs vulnérabilités comme Zero Day pour contourner les mesures de sécurité des iPhones, posant un risque persistant pour la confidentialité et la sécurité des utilisateurs. Les cibles comprenaient des diplomates russes et d’autres responsables, ainsi que des entreprises privées telles que Kaspersky elle-même.
En juin, Kaspersky a publié un rapport offrant des détails supplémentaires sur l'implant de logiciel espion TriangleDB utilisé dans la campagne, mettant en évidence de nombreuses fonctionnalités uniques, par exemple des fonctionnalités désactivées qui pourraient être déployées à l'avenir.
Cette semaine, l’équipe a présenté ses découvertes les plus récentes lors du 37ème Chaos Communication Congress à Hambourg, en Allemagne, la qualifiant de « chaîne d’attaque la plus sophistiquée » qu’elle ait jamais vue utilisée dans l’opération.
L’attaque du zéro clic vise l’application iMessage de l’iPhone, destinée aux versions iOS jusqu’à iOS 16.2. Lorsqu’il a été découvert pour la première fois, il exploitait quatre niveaux d’attaque de type « jour zéro » avec des couches d’attaques complexement structurées.
À l’intérieur de l’attaque mobile sans clic « Opération Triangulation »
L'attaque commence innocemment lorsque des acteurs malveillants envoient une pièce jointe iMessage, exploitant la vulnérabilité d'exécution de code à distance (RCE). CVE-2023-41990.
Cet exploit cible l'instruction de police ADJUST TrueType non documentée exclusive à Apple, existant depuis le début des années 90 avant un correctif ultérieur.
La séquence d'attaque approfondit ensuite, en tirant parti de la programmation orientée retour/saut et des étapes du langage de requête NSExpression/NSPredicate pour manipuler la bibliothèque JavaScriptCore.
Les attaquants ont intégré un exploit d'escalade privilégié dans JavaScript, soigneusement masqué pour dissimuler son contenu, qui s'étend sur environ 11,000 XNUMX lignes de code.
Cet exploit JavaScript complexe manipule la mémoire de JavaScriptCore et exécute des fonctions API natives en exploitant la fonctionnalité de débogage de JavaScriptCore, DollarVM ($vm).
Exploitation d'une vulnérabilité de dépassement d'entier suivie comme CVE-2023-32434 dans le cadre des appels système de mappage de mémoire de XNU, les attaquants obtiennent alors un accès en lecture/écriture sans précédent à la mémoire physique de l’appareil au niveau utilisateur.
De plus, ils contournent habilement la couche de protection de page (PPL) à l'aide de registres d'E/S mappés en mémoire matérielle (MMIO), une vulnérabilité préoccupante. exploité comme un jour zéro par le groupe Operation Triangulation mais finalement abordé comme CVE-2023-38606 par Apple.
En pénétrant les défenses de l’appareil, les attaquants exercent un contrôle sélectif en lançant le processus IMAgent, en injectant une charge utile pour effacer toute trace d’exploitation.
Par la suite, ils lancent un processus Safari invisible redirigé vers une page Web hébergeant la prochaine étape de l’exploit.
La page Web effectue une vérification de la victime et, une fois l'authentification réussie, déclenche un exploit Safari, en utilisant CVE-2023-32435 pour exécuter un shellcode.
Ce shellcode active encore un autre exploit du noyau sous la forme d'un fichier objet Mach, exploitant deux des mêmes CVE utilisés dans les étapes précédentes (CVE-2023-32434 et CVE-2023-38606).
Une fois les privilèges root obtenus, les attaquants orchestrent des étapes supplémentaires, pour finalement installer des logiciels espions.
Une sophistication croissante dans les cyberattaques sur iPhone
Le rapport souligne que cette attaque complexe en plusieurs étapes présente un niveau de sophistication sans précédent, exploitant diverses vulnérabilités sur les appareils iOS et suscitant des inquiétudes quant à l'évolution du paysage des cybermenaces.
Boris Larin, chercheur principal en sécurité chez Kaspersky, explique que la nouvelle vulnérabilité matérielle est peut-être basée sur le principe de « sécurité par l'obscurité » et pourrait avoir été destinée à des tests ou à un débogage.
"Après l'attaque initiale sans clic d'iMessage et l'augmentation des privilèges qui a suivi, les attaquants ont exploité cette fonctionnalité pour contourner les protections de sécurité matérielles et manipuler le contenu des régions de mémoire protégées", explique-t-il. "Cette étape était cruciale pour obtenir un contrôle total sur l'appareil."
Il ajoute qu’à la connaissance de l’équipe Kaspersky, cette fonctionnalité n’a pas été documentée publiquement et n’est pas utilisée par le micrologiciel, ce qui présente un défi important dans sa détection et son analyse à l’aide de méthodes de sécurité conventionnelles.
"Si nous parlons d'appareils iOS, en raison de la nature fermée de ces systèmes, il est très difficile de détecter de telles attaques", explique Larin. "Les seules méthodes de détection disponibles consistent à effectuer une analyse du trafic réseau et une analyse médico-légale des sauvegardes d'appareils effectuées avec iTunes."
Il explique qu’en revanche, les systèmes macOS de bureau et d’ordinateur portable sont plus ouverts et que des méthodes de détection plus efficaces sont donc disponibles pour ceux-ci.
« Sur ces appareils, il est possible d'installer détection et réponse aux points finaux (EDR) des solutions qui peuvent aider à détecter de telles attaques », note Larin.
Il recommande aux équipes de sécurité de mettre régulièrement à jour leur système d'exploitation, leurs applications et leurs logiciels antivirus ; corriger toutes les vulnérabilités connues ; et fournir à leurs équipes SOC un accès aux dernières informations sur les menaces.
"Mettez en œuvre des solutions EDR pour la détection, l'enquête et la résolution rapide des incidents au niveau des points de terminaison, redémarrez quotidiennement pour perturber les infections persistantes, désactivez iMessage et Facetime pour réduire les risques d'exploitation sans clic et installez rapidement les mises à jour iOS pour vous prémunir contre les vulnérabilités connues", Larin ajoute.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
