Mobil güvenlik söz konusu olduğunda, kullanıcılar rutin olarak son derece dikkatli olmaları, şüpheli bağlantılardan, e-postalardan ve eklerden kaçınmaları konusunda uyarılır. Ancak tıklama gerektirmeyen saldırıların büyümesi, bu yumuşak savunmaları geride bırakıyor.
Google kısa süre önce, bir iPhone’u vuran böyle bir saldırıya girişti. “Bunu şimdiye kadar gördüğümüz teknik olarak en karmaşık istismarlardan biri olarak değerlendiriyoruz ve ayrıca yeteneklerin (tek satıcı) daha önce yalnızca birkaç ulus devletin erişebileceği düşünülenlere rakip olduğunu gösteriyoruz” dedi. dedi Google tavsiyesi.
Google raporunun en korkutucu kısmı – ve çok güzelsin Korkutucu kısımlar – güvenlik uyarılarının yazılı olmayan kurallarından birini ihlal etmesi, yani etkili bir savunmanın olmadığı bir saldırının ayrıntılarını bildirmenin uygun olmamasıdır. Topluluğun daha hızlı bir savunma hazırlayabilmesi için ayrıntıların tartışılması gerektiği konusunda Google’a katılıyorum.
“NSO’nun müşterilerine, bir kimlik avı bağlantısını tıklamayan teknik açıdan çok bilgili hedeflerin bile hedeflendiklerinden tamamen habersiz oldukları sıfır tıklamalı sömürü teknolojisi sunduğu belgelendi. Sıfır tıklama senaryosunda, kullanıcı etkileşimi gerekmez. Yani, saldırganın kimlik avı mesajları göndermesine gerek yoktur. İstismar sadece arka planda sessizce çalışır. Bir cihazı kullanmamak dışında, sıfır tıklamayla istismarı önlemenin bir yolu yoktur. Savunması olmayan bir silah.”
Bu rahatlatıcı düşünce üzerine, ayrıntılara geçelim.
Gerçekten bir grafik olmayan grafik
Bu saldırılarda kullanılan yazılımın arkasındaki şirket olan NSO’nun CoreGraphics PDF ayrıştırıcısındaki bir güvenlik açığını hedeflemek için sahte bir GIF numarası kullandığı bildiriliyor. Dosyaların bir .gif uzantısı vardır, ancak bunlar GIF resim dosyaları değildir. Ad, yalnızca bir kullanıcının endişelenmesini önlemek için tasarlanmıştır.
“ImageIO kitaplığı, kaynak dosyanın doğru biçimini tahmin etmek ve dosya uzantısını tamamen yok sayarak ayrıştırmak için kullanılır. Bu sahte gif hilesini kullanarak, 20’den fazla görüntü codec bileşeni, birdenbire iMessage sıfır tıklama saldırı yüzeyinin bir parçası oluyor, bazı çok belirsiz ve karmaşık biçimler de dahil olmak üzere, muhtemelen yüz binlerce kod satırını uzaktan açığa çıkarıyor.”
Google’ın belirttiği gibi, bu saldırıları engellemek zordur. Tüm GIF resimlerini engellemenin etkili olması pek olası değildir. İlk olarak, bu dosyalar aslında GIF değil. En basit yaklaşım, bir GIF uzantısı kullanarak herhangi bir şeyi engellemektir, ancak kötü adamlar, kulağa zararsız gelen başka bir uzantıya geçecektir.
(Not: Google raporu, Apple’ın 2021’de yayınlanan yamalar aracılığıyla GIF saldırısını engellemeye çalıştığını söyledi. “Apple, iOS 14.8.1’den (26 Ekim 2021) başlayarak IMTranscoderAgent’tan erişilebilen mevcut ImageIO biçimlerini kısıtladığını bize bildirdi ve iOS 15.0’dan (20 Eylül 2021’den itibaren) IMTranscoderAgent’tan GIF kod yolunu tamamen kaldırdı ve GIF kod çözme işlemi tamamen BlastDoor içinde gerçekleşti.”
sıkıştırma tekniği
Bu, bazı tekrarlanan karakterleri değiştirerek dosyaların boyutunu küçültmeye yönelik yaygın bir meşru taktikle ilgilidir. Bu, yabani otların biraz içine giriyor: “Bu, JBIG2Bitmap mevcut hedef sayfasına h için bilinmeyen, ancak çok büyük bir değer veriyor. Bu h değeri, sınır denetimi için kullanıldığından ve sayfa yedekleme arabelleğinin tahsis edilen boyutunu yansıtması gerektiğinden, bunun çizim tuvalinin ‘sınırını kaldırma’ etkisi vardır. Bu, sonraki JBIG2 segment komutlarının, sayfa yedekleme arabelleğinin orijinal sınırlarının dışındaki belleği okuyabileceği ve yazabileceği anlamına gelir.
Sonuç?
“4 baytlık bitmapleri doğru tuval koordinatlarında oluşturarak, JBIG2Bitmap sayfasının tüm alanlarına yazabilirler ve w, h ve line için yeni değerleri dikkatlice seçerek, sayfa yedekleme tamponundan rastgele ofsetlere yazabilirler. Bu noktada, sayfa yedekleme arabelleğinden uzaklıklarını biliyorsanız, keyfi mutlak bellek adreslerine yazmak da mümkün olacaktır. Fakat bu ofsetler nasıl hesaplanır? Şimdiye kadar, bu istismar, Javascript’te belleğe erişimi olan sınırsız bir ArrayBuffer nesnesi ile sonuçlanabilecek bir kurallı betik dili istismarına çok benzer bir şekilde ilerledi. Ancak bu durumlarda, saldırgan, açık bir şekilde ofsetleri hesaplamak ve keyfi hesaplamalar yapmak için kullanılabilecek rastgele Javascript çalıştırma yeteneğine sahiptir. Bunu tek geçişli bir görüntü ayrıştırıcısında nasıl yaparsınız? Pratikte bu, VE, VEYA, XOR ve XNOR mantıksal işleçlerini, geçerli sayfanın JBIG2Bitmap destek arabelleğinden keyfi uzaklıklarda bellek bölgeleri arasında uygulamanın mümkün olduğu anlamına gelir. Ve bu sınırsız olduğu için…, bu mantıksal işlemleri, keyfi sınır dışı ofsetlerde bellekte gerçekleştirmek mümkün.”
Bu, saldırganların içeri girip yetkisiz kod yürütmesine izin veren bir kodlama sorunudur. Bu bilgi, hem kodlayıcıların zaman zaman bu delikten kaçınmasına izin verdiği hem de yazılıma bulması ve engelleyebileceği somut bir şey verdiği için kritik öneme sahiptir.
Kapsam dışı saldırılar
Bir başka Google noktası: “JBIG2’nin komut dosyası oluşturma yetenekleri yok, ancak bir güvenlik açığıyla birleştirildiğinde, isteğe bağlı bellek üzerinde çalışan isteğe bağlı mantık kapılarının devrelerini taklit etme yeteneğine sahip. Öyleyse neden bunu sadece kendi yapınızı oluşturmak için kullanmıyorsunuz? sahip olmak bilgisayar mimarisi ve komut dosyası bu!? Bu istismarın yaptığı tam olarak budur. Mantıksal bit işlemlerini tanımlayan 70.000’den fazla segment komutu kullanarak, bellek aramak ve aritmetik işlemleri gerçekleştirmek için kullandıkları, yazmaçlar ve tam 64 bit toplayıcı ve karşılaştırıcı gibi özelliklere sahip küçük bir bilgisayar mimarisi tanımlarlar. Javascript kadar hızlı değil, ancak temelde hesaplama açısından eşdeğerdir. Korumalı alan kaçış istismarı için önyükleme işlemleri bu mantık devresinde çalışacak şekilde yazılmıştır ve her şey bir JBIG2 akışından tek bir dekompresyon geçişinden oluşturulan bu tuhaf, öykünülmüş ortamda çalışır.
Google, bu şeylerin ulus devlet düzeyine yaklaştığını öne sürerken oldukça haklı. Ancak en azından bu ayrıntılar, CIO’ların ve CISO’ların bu konuda manevra yapmaya başlamasına yardımcı olacaktır.
Telif Hakkı © 2022 IDG Communications, Inc.