三角定位行動:卡巴斯基曝光疑遭NSA利用的蘋果處理器“神秘後門”

發布日期:2024-01-02首頁 > 安全資(zī)訊

          據卡巴斯基公司披露,自2019年以來,“三角定位行動”(Operation Triangulation)間諜軟件持續對iPhone設備進行攻擊。該軟件利用蘋果芯片中(zhōng)未記錄的特性繞過基于硬件的安全保護措施。

卡巴斯基分(fēn)析師在2023年6月首次發現了上述攻擊活動。随後,他們對這條複雜(zá)的攻擊鏈進行了逆向工(gōng)程,試圖挖掘所有細節。

分(fēn)析師發現了一(yī)些預留用于調試和出廠測試的隐蔽硬件特性,可以利用它們對iPhone用戶發動間諜軟件攻擊。這表明發動攻擊的威脅行爲者水平相當高。

這也充分(fēn)說明,依賴于隐蔽和保密的硬件設計或測試,并不能确保安全性。

三角定位行動

三角定位行動是一(yī)起針對蘋果iPhone設備的間諜軟件行動,利用了四個零日漏洞。這些漏洞被鏈接在一(yī)起,組合成一(yī)個零點擊漏洞利用鏈,允許攻擊者提升權限并執行遠程代碼。

這個高度複雜(zá)的漏洞鏈包括四個漏洞,能夠影響iOS 16.2之前的所有iOS版本。它們分(fēn)别是:

 

CVE-2023-41990:ADJUST TrueType字體(tǐ)指令中(zhōng)的一(yī)個漏洞,允許通過惡意iMessage附件執行遠程代碼。

CVE-2023-32434:XNU内存映射系統調用中(zhōng)的整數溢出問題,授予攻擊者對設備物(wù)理内存的廣泛讀寫訪問權限。

CVE-2023-32435:Safari浏覽器漏洞,可以用來執行shellcode,作爲多階段攻擊的一(yī)部分(fēn)。

CVE-2023-38606:利用硬件内存映射輸入/輸出(MMIO)寄存器繞過頁面保護層(PPL),超越基于硬件的安全保護措施。

攻擊者首先向目标發送惡意iMessage附件,整條攻擊鏈是零點擊的,也就是不需要用戶交互,不會留下(xià)任何可察覺的迹象或痕迹。

卡巴斯基在内部網絡中(zhōng)發現了這次攻擊。俄羅斯情報機構聯邦安全局當時指責,蘋果向美國國家安全局提供了針對俄羅斯政府和大(dà)使館人員(yuán)的後門。

到目前爲止,攻擊來源仍然未知(zhī),且沒有證據證明這些指控。

蘋果于2023年6月21日修複了當時被确認的兩個零日漏洞(CVE-2023-32434和CVE-2023-32435),發布了iOS/iPadOS 16.5.1和iOS/iPadOS 15.7.7版本。

高度複雜(zá)的攻擊

在這些漏洞中(zhōng),卡巴斯基分(fēn)析師對CVE-2023-38606最感興趣。蘋果于2023年7月24日發布了iOS/iPadOS 16.6版本,修補這一(yī)漏洞。

通過另一(yī)個漏洞CVE-2023-32434,攻擊者可以獲得對内核内存的讀寫訪問權限。此時,蘋果芯片自帶的硬件保護措施将阻止攻擊者完全控制設備。然而,CVE-2023-38606漏洞可以幫助攻擊者繞過這種保護措施

卡巴斯基詳細解釋了相關技術。CVE-2023-38606針對的是蘋果A12-A16 系列仿生(shēng)處理器中(zhōng)未知(zhī)的MMIO寄存器。這些寄存器未在設備樹(shù)(DeviceTree)中(zhōng)列出,可能與芯片的GPU協處理器相關。

三角定位攻擊利用這些寄存器操縱硬件特性,并在攻擊過程中(zhōng)控制直接内存訪問。

卡巴斯基在報告中(zhōng)解釋說:“總體(tǐ)來說,這個特性和利用方法如下(xià):攻擊者能夠向特定的物(wù)理地址寫入數據,同時向未被固件使用的芯片中(zhōng)的未知(zhī)硬件寄存器寫入數據、目标地址和數據散列,以繞過基于硬件的内存保護措施

卡巴斯基推測,這個未記錄的硬件特性之所以包含在最終供消費(fèi)者使用的iPhone版本中(zhōng),可能是出于錯誤,或者是爲了方便蘋果工(gōng)程師進行調試和測試

蘋果通過更新設備樹(shù)限制物(wù)理地址映射修複了這個漏洞。

然而,仍然不清楚攻擊者最初是如何發現這種如此隐蔽的可利用機制。

 

 

 

轉載自安全客