Um recurso de hardware anteriormente não documentado no System on a Chip (SoC) do iPhone da Apple permite a exploração de múltiplas vulnerabilidades, eventualmente permitindo que invasores contornem a proteção de memória baseada em hardware.

A vulnerabilidade desempenha um papel central na sofisticada campanha de clique zero “Operação Triangulação” de ameaça persistente avançada (APT), de acordo com um Denunciar da Equipe Global de Pesquisa e Análise da Kaspersky (GReAT).

A Campanha de espionagem cibernética da Operação Triangulação iOS existe desde 2019 e utilizou múltiplas vulnerabilidades como zero-day para contornar medidas de segurança em iPhones, representando um risco persistente à privacidade e segurança dos usuários. Os alvos incluíram diplomatas russos e outras autoridades locais, bem como empresas privadas como a própria Kaspersky.

Em junho, a Kaspersky lançou um Denunciar oferecendo detalhes adicionais sobre o implante de spyware TriangleDB usado na campanha, destacando vários recursos exclusivos, por exemplo, recursos desativados que poderiam ser implantados no futuro.

Esta semana, a equipe apresentou suas descobertas mais recentes no 37º Congresso de Comunicação do Caos em Hamburgo, Alemanha, chamando-a de “a cadeia de ataque mais sofisticada” que já haviam visto sendo usada na operação.

O ataque sem clique é direcionado ao aplicativo iMessage do iPhone, voltado para versões iOS até iOS 16.2. Quando foi visto pela primeira vez, estava explorando quatro dias zero com camadas de ataque intrincadamente estruturadas.

Por dentro do ataque móvel com zero clique da ‘Operação Triangulação’

O ataque começa inocentemente quando atores mal-intencionados enviam um anexo do iMessage, explorando a vulnerabilidade de execução remota de código (RCE). CVE-2023-41990.

Esta exploração tem como alvo a instrução de fonte ADJUST TrueType não documentada, exclusiva da Apple, existente desde o início dos anos noventa, antes de um patch subsequente.

A sequência de ataque então se aprofunda, aproveitando a programação orientada a retorno/salto e os estágios da linguagem de consulta NSExpression/NSPredicate para manipular a biblioteca JavaScriptCore.

Os invasores incorporaram uma exploração de escalonamento privilegiada em JavaScript, cuidadosamente ofuscada para ocultar seu conteúdo, que abrange aproximadamente 11,000 linhas de código.

Essa intrincada exploração de JavaScript manobra através da memória do JavaScriptCore e executa funções de API nativas, explorando o recurso de depuração do JavaScriptCore, DollarVM ($vm).

Explorando uma vulnerabilidade de estouro de número inteiro rastreada como CVE-2023-32434 nas syscalls de mapeamento de memória do XNU, os invasores obtêm acesso de leitura/gravação sem precedentes à memória física do dispositivo no nível do usuário.

Além disso, eles contornam habilmente a camada de proteção de página (PPL) usando registros de E/S mapeados em memória de hardware (MMIO), uma vulnerabilidade preocupante explorado como dia zero pelo grupo Operação Triangulação mas eventualmente abordado como CVE-2023-38606 pela Apple.

Ao penetrar nas defesas do dispositivo, os invasores exercem controle seletivo iniciando o processo IMAgent, injetando uma carga útil para limpar quaisquer vestígios de exploração.

Posteriormente, eles iniciam um processo invisível do Safari redirecionado para uma página da Web que abriga o próximo estágio da exploração.

A página da Web realiza a verificação da vítima e, após a autenticação bem-sucedida, aciona uma exploração do Safari, usando CVE-2023-32435 para executar um shellcode.

Este shellcode ativa outra exploração do kernel na forma de um arquivo de objeto Mach, aproveitando dois dos mesmos CVEs usados ​​nos estágios anteriores (CVE-2023-32434 e CVE-2023-38606).

Depois de obter privilégios de root, os invasores orquestram etapas adicionais, eventualmente instalando spyware.

Uma sofisticação crescente em ataques cibernéticos ao iPhone

O relatório observou que o ataque intrincado e em vários estágios apresenta um nível de sofisticação sem precedentes, explorando vulnerabilidades variadas em dispositivos iOS e aumentando as preocupações sobre o cenário em evolução das ameaças cibernéticas.

Boris Larin, principal pesquisador de segurança da Kaspersky, explica que a nova vulnerabilidade de hardware é possivelmente baseada no princípio de “segurança através da obscuridade” e pode ter sido destinada a testes ou depuração.

“Após o ataque inicial de zero clique no iMessage e o subsequente escalonamento de privilégios, os invasores aproveitaram o recurso para contornar as proteções de segurança baseadas em hardware e manipular o conteúdo de regiões de memória protegidas”, diz ele. “Esta etapa foi crucial para obter controle total sobre o dispositivo.”

Ele acrescenta que, até onde a equipe da Kaspersky sabe, esse recurso não foi documentado publicamente e não é usado pelo firmware, apresentando um desafio significativo na sua detecção e análise usando métodos de segurança convencionais.

“Se estamos falando de dispositivos iOS, devido à natureza fechada desses sistemas, é muito difícil detectar tais ataques”, diz Larin. “Os únicos métodos de detecção disponíveis para estes são realizar uma análise de tráfego de rede e uma análise forense de backups de dispositivos feitos com o iTunes.”

Ele explica que, por outro lado, os sistemas macOS de desktop e laptop são mais abertos e, portanto, métodos de detecção mais eficazes estão disponíveis para eles.

“Nesses aparelhos é possível instalar detecção e resposta de endpoint (EDR) soluções que podem ajudar a detectar tais ataques”, observa Larin.

Ele recomenda que as equipes de segurança atualizem regularmente seu sistema operacional, aplicativos e software antivírus; corrigir quaisquer vulnerabilidades conhecidas; e fornecer às suas equipes SOC acesso às mais recentes informações sobre ameaças.

“Implemente soluções EDR para detecção, investigação e correção oportuna de incidentes em nível de endpoint, reinicie diariamente para interromper infecções persistentes, desative o iMessage e o Facetime para reduzir os riscos de exploração de clique zero e instale imediatamente atualizações do iOS para se proteger contra vulnerabilidades conhecidas”, Larin acrescenta.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections