作者 Lyeuiechang (誠誠小屁孩)
標題 [新聞] 卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻
時間 Fri Dec 29 01:29:11 2023


 **[新聞] 內容須與手機通訊有關,同時須注意智慧財產權。**

發文時須使用原文標題內文須依格式填寫,若原標題過長,請於內文完整填上修改新聞
內容者須以色碼標示。

心得須達繁體中文30字以上,20日以上之舊文,須超過250字(不含標點符號)。
應提供對該則新聞之看法、評論或補充事項,若非視同未提供。

新聞標題須符合內文,且不可分享標題含有誇大、含糊不清或過於主觀之新聞。

禁止假借新聞挾帶廣告/業配(2-1)、政治文(1-3)。

有違 [新聞] 格式與規定發文,處刪文及水桶14天,累犯者加重至一個月起跳,另有
罰則者不在此限。

========若已詳細閱讀,請將上述引言刪掉,ctrl+y可刪一整行=========

範本格式 (請依序謄寫,禁止更動格式,綠色範例可刪除)
──────────────────────────────────────
1.原文連結:連結過長者請使用短網址。
https://www.ithome.com.tw/news/160590
卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻擊鏈細節 | iThome
[圖]
卡巴斯基試圖釐清駭客如何串連4個蘋果零時差漏洞,發動以iOS裝置為目標的攻擊行動Operation Triangulation ...

 
2.原文標題:標題須完整寫出且須符合內文(否則依板規刪除並水桶)。
卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻擊鏈細節
3.原文來源(媒體/作者):例:蘋果日報/王大明(若無署名作者則不須)
iThome/陳曉莉
4.原文內容:請刊登完整全文(否則依板規刪除並水桶)。
卡巴斯基試圖釐清駭客如何串連4個蘋果零時差漏洞,發動以iOS裝置為目標的攻擊行動
Operation Triangulation

 2023-12-28發表

https://i.imgur.com/6fDPyGo.jpg
[圖]

資安業者卡巴斯基(Kaspersky)在今年6月揭露了一個以iOS裝置為目標的攻擊行動
Operation Triangulation,當時僅說駭客可藉由傳送一個帶有附件的iMessage訊息予受
害者,就能觸發遠端程式攻擊漏洞,並未公布漏洞細節,但本周卡巴斯基公開了
Operation Triangulation所使用的4個零時差漏洞,還說這是他們自蘋果、微軟、Adobe
及Google等產品中所發現的逾30個零時差漏洞中,所見過最複雜的攻擊鏈,其中的
CVE-2023-38606到底是如何被濫用的,迄今仍是個謎團。

Operation Triangulation利用了4個零時差漏洞,分別是位於FontParser中的遠端程式攻
擊漏洞CVE-2023-41990,核心中的整數溢位漏洞CVE-2023-32434,核心中的可用來繞過頁
面保護層的CVE-2023-38606漏洞,以及存在於WebKit中可造成任意程式執行的記憶體毀損
漏洞CVE-2023-32435。


值得注意的是,卡巴斯基發現Operation Triangulation最古老的感染痕跡發生在2019年
,所適用的最新iOS版本為 iOS 16.2,而蘋果一直到今年6月才修補它們,意謂著駭客早
已偷偷滲透iMessage超過4年。


分析顯示,駭客先是藉由傳送惡意的iMessage附件來利用CVE-2023-41990漏洞,以執行一
個以JavaScript撰寫的權限擴張攻擊程式,接著再利用CVE-2023-32434 漏洞取得記憶體
的讀寫權限,再以CVE-2023-38606漏洞繞過頁面保護層(Page Protection Layer),在
成功攻擊上述3個漏洞之後,駭客即可對裝置執行任何操作,包括執行間諜軟體,然而,
駭客卻選擇了注入一個酬載,並清除所有攻擊痕跡,再於隱形模式執行了一個Safari程序
,以驗證受害者,檢查通過之後才繼續利用下一個位於WebKit中的CVE-2023-32435漏洞以
執行Shellcode,接著駭客即重複透過先前的漏洞來載入惡意程式。


這除了是卡巴斯基團隊所見過的最複雜的攻擊鏈之外,即使該團隊Operation
Triangulation已有數月之久,但仍無法解開有關CVE-2023-38606漏洞的謎團。

研究人員解釋,最近的iPhone針對核心記憶體的敏感區域採用了基於硬體的安全保護,以
讓駭客就算能夠讀寫核心記憶體,也無法控制整個裝置,然而,CVE-2023-38606漏洞的存
在是因為駭客利用了蘋果系統單晶片上的另一個硬體功能來繞過此一基於硬體的安全保護


具體而言,當駭客將資料、位址及資料雜湊寫入該晶片上未被韌體使用的硬體暫存器時,
就能在寫入資料至特定的位址時,繞過基於硬體的記憶體保護。因為相關的硬體暫存器並
未受到韌體的監管或保護。


研究人員的疑惑在於,此一硬體功能從何而來?如果蘋果的韌體都未使用它,駭客又如何
得知怎麼操控它?最可能的解釋是它可能是工廠或蘋果工程師用來測試或除錯的,或許先
前曾不小心出現在韌體中,之後又被移除。


卡巴斯基認為,CVE-2023-38606漏洞彰顯了一件事,這些基於硬體的先進保護機制,只要
有硬體功能得以繞過,在面臨尖端駭客時也是沒用的。此外,硬體安全往往仰賴於隱蔽的
安全,使得它的逆向工程比軟體更難,但這是一種有缺陷的方式,因為所有的秘密遲早都
會被揭露,藉由隱蔽所實現的安全永遠不可能真正安全。


5.心得/評論:內容須超過繁體中文30字(不含標點符號)。

卡巴斯基部落格原文:

Operation Triangulation: The last (hardware) mystery
https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
Operation Triangulation: The last (hardware) mystery | Securelist
[圖]
Recent iPhone models have additional hardware-based security protection for sensitive regions of the kernel memory. We discovered that to bypass this  ...

 

    If we try to describe this feature and how attackers use it, it all comes
down to this: attackers are able to write the desired data to the desired
physical address with [the] bypass of [a] hardware-based memory protection by
writing the data, destination address and hash of data to unknown, not used
by the firmware, hardware registers of the chip.

    Our guess is that this unknown hardware feature was most likely intended
to be used for debugging or testing purposes by Apple engineers or the
factory, or was included by mistake. Since this feature is not used by the
firmware, we have no idea how attackers would know how to use it

https://i.imgur.com/BnAIwnk.png
[圖]

國外新聞:

4-year campaign backdoored iPhones using possibly the most advanced exploit
ever
https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection
December | 2023 | Ars Technica
Serving the Technologist for more than a decade. IT news, reviews, and analysis. ...

 
-campaign-targeted-secret-hardware-feature/

這次的攻擊主要由 4 個零時差漏洞的交互作用下達到攻擊者的目的,
其中最讓人疑惑的是 CVE-2023-38606 ,
攻擊者知道利用 GPU 協處理器附近未被官方文件記載的記憶體位置進行讀寫,
這些記憶體位置主要與 ARM CoreSight MMIO 暫存器有關,
為蘋果所自定義的,主要是為了 Debug 使用。

另外這些記憶體位置也沒有被系統韌體所使用,

也就是一個出貨之後可能從來都不會被使用的閒置記體體空間,

攻擊者究竟是如何在沒有官方文件的情況下:
1) 知道該記憶體位置可以寫入
2) 知道撰寫時要從這個角度出發

且該暫存器所使用的演算法也非常的簡易,
僅由一個寫死的 sbox 的查表組成,
很容易被試出來。

Asahi Linux 作者則提到這應該與 ECC 檢查有關,
且它的演算法跟任天堂的 Wii 相當類似。

https://social.treehouse.systems/@marcan/111655847458820583

 

另外他也認為最大的謎團在於如何知道要從這個角度下手,
比較大的可能性是蘋果內部的文件外流導致,
或者在某一個版本流出了這方面的資訊讓攻擊者有方向可以著手。

蘋果目前處理的方案為把那幾個被攻擊使用的記憶體位置直接標記成 DENY,
但這方面的攻擊恐將不會就此結束,
因為若有人又在附近其他的位置找到一樣的漏洞,
便能使用類似的攻擊手法繼續進行攻擊。

這個未使用記憶體已確認出現在以下處理器型號:

arm64e: A12-A16 & M1-M2 (A17 Pro 仍待確認)

此為硬體級漏洞,無法透過升級系統徹底消除。
(目前也只是部分標記並強制拒絕存取)

另目前仍不知道攻擊者可能隸屬於哪一個組織,
但是目前已知被攻擊的對象為俄羅斯的外交單位。

以上。

──────────────────────────────────────

--
Lyeuiechang: [新聞]有狼師一直戳女學森(.)(.)而被家長吉上法院...12/04 23:42
Xhocer:                               )  (12/04 23:44
xj654m3:                             ( Y )12/04 23:46
Xhocer:                               \|/12/04 23:48
xj654m3:                   (╮⊙▽⊙)ノ |||12/05 00:47
Lyeuiechang:                          /|\╰╮o( ̄▽ ̄///)<12/05 01:17

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.87.99 (臺灣)
※ 作者: Lyeuiechang 2023-12-29 01:29:11
※ 文章代碼(AID): #1bZR1gAa (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1703784554.A.2A4.html
※ 編輯: Lyeuiechang (123.192.87.99 臺灣), 12/29/2023 01:31:46
a27588679: 有內鬼1F 12/29 01:41
hsupeter92: 這點 android 就不錯就是有漏洞大家幫忙抓2F 12/29 01:45
labbat: 韌體跟軟體有什麼差異呀3F 12/29 03:09
hsupeter92: 韌體是軟體跟硬體的橋樑,你可以這樣想
它就是非常低階的軟體,只處理一些直接的指令
比如對 CPU 就是能跑多少頻率 (就是 BIOS/UEFI
或是 SSD 的主控分配的順序4F 12/29 03:14
coneflwer: 哀鳳好安全8F 12/29 06:24
aal: 漏洞放給你打4年也沒事 當然是安全9F 12/29 06:27
ltytw: 現在的javascript太強大了啦10F 12/29 07:12
NX9999: 推4樓11F 12/29 07:50
dansy: 能拿到內部資料又遲遲不修復,不就蘋果自己搞的?12F 12/29 08:03
tonyian: 這看起來就是因為apple 全採用封閉系統,然後又部分資料外流導致的,最安全的Apple (笑)13F 12/29 08:16
mstar: 想到幾年前 Intel CPU 也發生類似狀況,很多主機板相隔多年後緊急出新版韌體補漏洞、Windows 出 patch;洞補起來但是運算效能大打折扣。15F 12/29 08:24
thomaschion: 之前一堆人說卡巴是寫病毒的,現在進階了?18F 12/29 08:31
luis1056379: 這個比較好玩的是又可能可以越獄了19F 12/29 09:59
hsupeter92: 對欸當年 checkra1n 一直用到 Xs 才被封掉20F 12/29 10:04
gameguy: 卡巴斯基,繁體中文版沒有免費,反而簡體中文與英文有,先噓這家公司21F 12/29 10:15
square4: 看起來跟融毀漏洞不太一樣,融毀是對cpu快取的旁路攻擊,這個是存取未使用的暫存器,當時降效能的韌體修補應該也不適用這個漏洞23F 12/29 10:21
f396761440: 12F 早在iOS12時就發現以色列公司
寫的飛馬間諜病毒漏洞 Apple也是
拖了N年才在iOS16修復漏洞26F 12/29 10:53
cvn21: 是不是留給美國政府自己用的漏洞29F 12/29 11:11
aq981334: 已知被攻擊單位為俄羅斯外交單位
也就是說使用該漏洞的,大致應該是歐美駭客,這幾年俄烏衝突、美俄交鋒,想想也知道什麼回事,就資訊戰而已。30F 12/29 11:34
f396761440: 沒被發現前叫後門,被發現後叫漏洞34F 12/29 11:38
abc21086999: 還好我用Pixel35F 12/29 11:44
Altair: 卡巴繁中要抓某個版號以前的才有免費版36F 12/29 13:19
kalapon: 古老的諺語提到只要是人為 就一定有漏洞 不管是人心還是作為37F 12/29 14:07
Yanten: intel 那個是偷吃步,才會有那個問題39F 12/29 17:39
SUCKERKING: 把各家都有實作的預測執行說成偷吃步?40F 12/29 18:27
Layase: 俄羅斯被攻擊 沒事兒是蘋果跟萬惡美帝合作41F 12/29 19:23
ntut99me: 聊iMessage 時可別罵庫克42F 12/29 19:33
SEEDA: 封閉系統都能顧不好也太智障43F 12/29 20:15
spfy: 用到四個0day漏洞的奢侈攻擊 是大人物才要這樣弄吧44F 12/29 21:44
enderboy7652: 難怪水果突然願意接納rcs了45F 12/29 23:26
ltytw: 樓樓上  應該是吧?  還要先檢查手機主人是誰呢?惡意程式才決定下一步要做什麼46F 12/30 07:58

--
作者 Lyeuiechang 的最新發文:
點此顯示更多發文記錄