**[新闻] 内容须与手机通讯有关,同时须注意智慧财产权。**
发文时须使用原文标题,内文须依格式填写,若原标题过长,请于内文完整填上,修改新闻
内容者须以色码标示。
心得须达繁体中文30字以上,20日以上之旧文,须超过250字(不含标点符号)。
应提供对该则新闻之看法、评论或补充事项,若非视同未提供。
新闻标题须符合内文,且不可分享标题含有夸大、含糊不清或过于主观之新闻。
禁止假借新闻挟带广告/业配(2-1)、政治文(1-3)。
有违 [新闻] 格式与规定发文,处删文及水桶14天,累犯者加重至一个月起跳,另有
罚则者不在此限。
========若已详细阅读,请将上述引言删掉,ctrl+y可删一整行=========
范本格式 (请依序誊写,禁止更动格式,绿色范例可删除)
──────────────────────────────────────
1.原文连结:连结过长者请使用短网址。
https://www.ithome.com.tw/news/160590
2.原文标题:标题须完整写出且须符合内文(否则依板规删除并水桶)。
卡巴斯基公布锁定iMessage的Operation Triangulation复杂攻击链细节
3.原文来源(媒体/作者):例:苹果日报/王大明(若无署名作者则不须)
iThome/陈晓莉
4.原文内容:请刊登完整全文(否则依板规删除并水桶)。
卡巴斯基试图厘清骇客如何串连4个苹果零时差漏洞,发动以iOS装置为目标的攻击行动
Operation Triangulation
2023-12-28发表
https://i.imgur.com/6fDPyGo.jpg
资安业者卡巴斯基(Kaspersky)在今年6月揭露了一个以iOS装置为目标的攻击行动
Operation Triangulation,当时仅说骇客可借由传送一个带有附件的iMessage讯息予受
害者,就能触发远端程式攻击漏洞,并未公布漏洞细节,但本周卡巴斯基公开了
Operation Triangulation所使用的4个零时差漏洞,还说这是他们自苹果、微软、Adobe
及Google等产品中所发现的逾30个零时差漏洞中,所见过最复杂的攻击链,其中的
CVE-2023-38606到底是如何被滥用的,迄今仍是个谜团。
Operation Triangulation利用了4个零时差漏洞,分别是位于FontParser中的远端程式攻
击漏洞CVE-2023-41990,核心中的整数溢位漏洞CVE-2023-32434,核心中的可用来绕过页
面保护层的CVE-2023-38606漏洞,以及存在于WebKit中可造成任意程式执行的内存毁损
漏洞CVE-2023-32435。
值得注意的是,卡巴斯基发现Operation Triangulation最古老的感染痕迹发生在2019年
,所适用的最新iOS版本为 iOS 16.2,而苹果一直到今年6月才修补它们,意谓著骇客早
已偷偷渗透iMessage超过4年。
分析显示,骇客先是借由传送恶意的iMessage附件来利用CVE-2023-41990漏洞,以执行一
个以JavaScript撰写的权限扩张攻击程式,接着再利用CVE-2023-32434 漏洞取得内存
的读写权限,再以CVE-2023-38606漏洞绕过页面保护层(Page Protection Layer),在
成功攻击上述3个漏洞之后,骇客即可对装置执行任何操作,包括执行间谍软件,然而,
骇客却选择了注入一个酬载,并清除所有攻击痕迹,再于隐形模式执行了一个Safari程序
,以验证受害者,检查通过之后才继续利用下一个位于WebKit中的CVE-2023-32435漏洞以
执行Shellcode,接着骇客即重复透过先前的漏洞来加载恶意程式。
这除了是卡巴斯基团队所见过的最复杂的攻击链之外,即使该团队Operation
Triangulation已有数月之久,但仍无法解开有关CVE-2023-38606漏洞的谜团。
研究人员解释,最近的iPhone针对核心内存的敏感区域采用了基于硬件的安全保护,以
让骇客就算能够读写核心内存,也无法控制整个装置,然而,CVE-2023-38606漏洞的存
在是因为骇客利用了苹果系统单芯片上的另一个硬件功能来绕过此一基于硬件的安全保护
。
具体而言,当骇客将资料、位址及资料杂凑写入该芯片上未被韧体使用的硬件暂存器时,
就能在写入资料至特定的位址时,绕过基于硬件的内存保护。因为相关的硬件暂存器并
未受到韧体的监管或保护。
研究人员的疑惑在于,此一硬件功能从何而来?如果苹果的韧体都未使用它,骇客又如何
得知怎么操控它?最可能的解释是它可能是工厂或苹果工程师用来测试或除错的,或许先
前曾不小心出现在韧体中,之后又被移除。
卡巴斯基认为,CVE-2023-38606漏洞彰显了一件事,这些基于硬件的先进保护机制,只要
有硬件功能得以绕过,在面临尖端骇客时也是没用的。此外,硬件安全往往仰赖于隐蔽的
安全,使得它的逆向工程比软件更难,但这是一种有缺陷的方式,因为所有的秘密迟早都
会被揭露,借由隐蔽所实现的安全永远不可能真正安全。
5.心得/评论:内容须超过繁体中文30字(不含标点符号)。
卡巴斯基部落格原文:
Operation Triangulation: The last (hardware) mystery
https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
If we try to describe this feature and how attackers use it, it all comes
down to this: attackers are able to write the desired data to the desired
physical address with [the] bypass of [a] hardware-based memory protection by
writing the data, destination address and hash of data to unknown, not used
by the firmware, hardware registers of the chip.
Our guess is that this unknown hardware feature was most likely intended
to be used for debugging or testing purposes by Apple engineers or the
factory, or was included by mistake. Since this feature is not used by the
firmware, we have no idea how attackers would know how to use it
https://i.imgur.com/BnAIwnk.png
国外新闻:
4-year campaign backdoored iPhones using possibly the most advanced exploit
ever
https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection
-campaign-targeted-secret-hardware-feature/
这次的攻击主要由 4 个零时差漏洞的交互作用下达到攻击者的目的,
其中最让人疑惑的是 CVE-2023-38606 ,
攻击者知道利用 GPU 协处理器附近未被官方文件记载的内存位置进行读写,
这些内存位置主要与 ARM CoreSight MMIO 暂存器有关,
为苹果所自定义的,主要是为了 Debug 使用。
另外这些内存位置也没有被系统韧体所使用,
也就是一个出货之后可能从来都不会被使用的闲置记体体空间,
攻击者究竟是如何在没有官方文件的情况下:
1) 知道该内存位置可以写入
2) 知道撰写时要从这个角度出发
且该暂存器所使用的算法也非常的简易,
仅由一个写死的 sbox 的查表组成,
很容易被试出来。
Asahi Linux 作者则提到这应该与 ECC 检查有关,
且它的算法跟任天堂的 Wii 相当类似。
https://social.treehouse.systems/@marcan/111655847458820583
另外他也认为最大的谜团在于如何知道要从这个角度下手,
比较大的可能性是苹果内部的文件外流导致,
或者在某一个版本流出了这方面的资讯让攻击者有方向可以着手。
苹果目前处理的方案为把那几个被攻击使用的内存位置直接标记成 DENY,
但这方面的攻击恐将不会就此结束,
因为若有人又在附近其他的位置找到一样的漏洞,
便能使用类似的攻击手法继续进行攻击。
这个未使用内存已确认出现在以下处理器型号:
arm64e: A12-A16 & M1-M2 (A17 Pro 仍待确认)
此为硬件级漏洞,无法透过升级系统彻底消除。
(目前也只是部分标记并强制拒绝存取)
另目前仍不知道攻击者可能隶属于哪一个组织,
但是目前已知被攻击的对象为俄罗斯的外交单位。
以上。
──────────────────────────────────────