12月27日,卡巴斯基全球研究與分析團隊(GReAT)揭露了蘋果iPhone硬體中的一個以前未知的“特性”,允許惡意軟體完全繞過其記憶體保護機制。
在第37屆混沌通訊大會(37C3)上,卡巴斯基的安全研究員進行了一場題為“三角測量行動:當攻擊研究人員的iPhone時你會得到什麼”的演講。安全研究員表示,儘管在此之前他們已經在Adobe、Apple、Google和Microsoft產品中發現並報告了30多個0day,但這是他們見過最複雜的一個攻擊鏈。
卡巴斯基的研究報告顯示,該攻擊鏈涉及使用四個零日漏洞,以獲得前所未有的訪問許可權,並在早於iOS 16.2的版本上部署後門,最終目標是收集敏感資訊。更為關鍵的是,該攻擊無需任何使用者互動,零點選攻擊的起點是一個攜帶著惡意附件的iMessage,可自動進行處理,最終獲得提升的許可權並部署間諜模組。具體來說,攻擊過程涉及以下漏洞的武器化:
CVE-2023-41990 - FontParser元件中的漏洞,當處理透過iMessage傳送的特製字型檔案時可能導致任意程式碼執行。(在iOS 15.7.8和iOS 16.3中得到解決)
CVE-2023-32434 - 核心中的整數溢位漏洞,可以被惡意應用程式利用以在核心許可權下執行任意程式碼。(在iOS 15.7.7、iOS 15.8和iOS 16.5.1中得到解決)
CVE-2023-32435 - WebKit中的記憶體損壞漏洞,當處理特製的Web內容時可能導致任意程式碼執行。(在iOS 15.7.7和iOS 16.5.1中得到解決)
CVE-2023-38606 - 核心中存在允許惡意應用程式修改敏感核心狀態的問題。(在iOS 16.6中得到解決)
在這四個漏洞中,CVE-2023-38606特別值得一提,它是攻擊鏈中的關鍵環節,允許攻擊者將資料寫入特定實體地址,同時透過將資料、目標地址和資料雜湊寫入韌體未使用的晶片的未知硬體暫存器,來繞過基於硬體的記憶體保護。
據卡巴斯基所說,它是利用記憶體對映I/O (MMIO)暫存器繞過了敏感核心記憶體區域的基於硬體的安全保護,但這是一個直到現在都不為人知或是記錄的功能,目前尚不清楚該攻擊活動背後的駭客是如何得知其存在的。
“我們猜測,這個此前未知的硬體功能很可能是蘋果工程師或工廠用於除錯或測試目的,或者是錯誤地被包含進來。”安全研究員Boris Larin說。“因為這個功能沒有被韌體使用,我們不清楚攻擊者又是如何知道該如何去使用它的。”
最後,卡巴斯基特別強調:硬體安全往往依賴於“隱晦式安全”,相較之下比軟體更難逆向工程,但這是一種有缺陷的方法,因為遲早所有秘密都會被揭露。依賴於“隱晦式安全”的系統永遠不可能真正安全。
報告原文:https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
編輯:左右裡
資訊來源:Kaspersky
轉載請註明出處和本文連結