Apple’ın Çip Üzerindeki iPhone Sistemi (SoC) içindeki daha önce belgelenmemiş bir donanım özelliği, birden fazla güvenlik açığından yararlanılmasına ve sonuçta saldırganların donanım tabanlı bellek korumasını atlamasına olanak tanıyor.
Güvenlik açığı, gelişmiş gelişmiş kalıcı tehdit (APT) “Operasyon Üçgenleme” sıfır tıklama kampanyasında merkezi bir rol oynuyor. rapor Kaspersky’nin Küresel Araştırma ve Analiz Ekibi’nden (GReAT).
Nirengi Operasyonu iOS siber casusluk kampanyası 2019’dan beri mevcut ve iPhone’lardaki güvenlik önlemlerini atlamak için sıfır gün olarak birden fazla güvenlik açığından yararlanarak kullanıcıların gizliliği ve güvenliği için kalıcı bir risk oluşturuyor. Hedefler arasında Rus diplomatlar ve oradaki diğer yetkililerin yanı sıra Kaspersky gibi özel şirketler de yer alıyor.
Haziran ayında Kaspersky bir açıklama yayınladı. rapor Kampanyada kullanılan TriangleDB casus yazılım implantasyonu hakkında ek ayrıntılar sunarak, gelecekte devreye alınabilecek devre dışı bırakılmış özellikler gibi çok sayıda benzersiz yeteneğin altını çiziyor.
Bu hafta ekip en son bulgularını Almanya’nın Hamburg kentinde düzenlenen 37. Kaos İletişim Kongresi’nde sundu ve bunu, operasyonda kullanıldığını gördükleri “en karmaşık saldırı zinciri” olarak nitelendirdi.
Sıfır tıklama saldırısı, iOS 16.2’ye kadar olan iOS sürümlerini hedef alan iPhone’un iMessage uygulamasına yöneliktir. İlk görüldüğünde karmaşık yapılandırılmış saldırı katmanlarıyla dört sıfır günden yararlanıyordu.
‘Operasyon Üçgenleme’ Sıfır Tıklamalı Mobil Saldırının İçinde
Saldırı, kötü niyetli aktörlerin uzaktan kod yürütme (RCE) güvenlik açığından yararlanarak bir iMessage eki göndermesiyle masum bir şekilde başlıyor CVE-2023-41990.
Bu istismar, sonraki bir yamadan önce doksanların başından beri var olan, Apple’a özel, belgelenmemiş ADJUST TrueType yazı tipi talimatını hedef alıyor.
Saldırı dizisi daha sonra JavaScriptCore kitaplığını yönetmek için geri dönüş/atlama odaklı programlama ve NSExpression/NSPredicate sorgu dili aşamalarından yararlanarak daha derinlere iner.
Saldırganlar, yaklaşık 11.000 kod satırına yayılan içeriğini gizlemek için dikkatlice gizlenen JavaScript’e ayrıcalıklı bir yükseltme istismarı yerleştirdiler.
Bu karmaşık JavaScript istismarı, JavaScriptCore’un belleği üzerinden manevra yapar ve JavaScriptCore’un hata ayıklama özelliği DollarVM’den ($vm) yararlanarak yerel API işlevlerini yürütür.
Şu şekilde izlenen bir tamsayı taşması güvenlik açığından yararlanılıyor: CVE-2023-32434 Saldırganlar, XNU’nun bellek eşleme sistem çağrıları dahilinde, kullanıcı düzeyinde cihazın fiziksel belleğine benzeri görülmemiş bir okuma/yazma erişimi elde eder.
Ayrıca, endişe verici bir güvenlik açığı olan donanım bellek eşlemeli G/Ç (MMIO) kayıtlarını kullanarak Sayfa Koruma Katmanını (PPL) ustaca atlarlar. Üçgenleme Operasyonu grubu tarafından sıfır gün olarak kullanıldı ama sonunda şu şekilde ele alındı: CVE-2023-38606 Apple tarafından.
Saldırganlar, cihazın savunmasını deldikten sonra, IMAgent sürecini başlatarak ve herhangi bir istismar izini temizlemek için bir yük enjekte ederek seçici kontrol uygular.
Daha sonra, istismarın bir sonraki aşamasını barındıran bir Web sayfasına yönlendirilen görünmez bir Safari işlemi başlatırlar.
Web sayfası kurban doğrulaması gerçekleştirir ve başarılı kimlik doğrulamanın ardından, aşağıdakileri kullanarak bir Safari istismarını tetikler: CVE-2023-32435 bir kabuk kodunu yürütmek için.
Bu kabuk kodu, önceki aşamalarda kullanılan aynı CVE’lerden (CVE-2023-32434 ve CVE-2023-38606) ikisinden yararlanarak, Mach nesne dosyası biçiminde başka bir çekirdek istismarını etkinleştirir.
Saldırganlar, kök ayrıcalıklarını aldıktan sonra ek aşamalar düzenler ve sonunda casus yazılım yükler.
iPhone Siber Saldırılarında Büyüyen Bir Gelişmişlik
Raporda, karmaşık, çok aşamalı saldırının eşi benzeri görülmemiş düzeyde bir karmaşıklık sunduğu, iOS cihazlarındaki çeşitli güvenlik açıklarından yararlanıldığı ve siber tehditlerin gelişen ortamına ilişkin endişelerin arttığı belirtildi.
Kaspersky’nin baş güvenlik araştırmacısı Boris Larin, yeni donanım güvenlik açığının muhtemelen “gizlilik yoluyla güvenlik” ilkesine dayandığını ve test etme veya hata ayıklama amaçlı olabileceğini açıklıyor.
“İlk sıfır tıklama iMessage saldırısının ve ardından ayrıcalık artışının ardından saldırganlar, donanım tabanlı güvenlik korumalarını aşma ve korunan bellek bölgelerinin içeriğini değiştirme özelliğini kullandı” diyor. “Bu adım, cihaz üzerinde tam kontrol elde etmek için çok önemliydi.”
Kaspersky ekibinin bildiği kadarıyla bu özelliğin kamuya açıklanmadığını ve ürün yazılımı tarafından kullanılmadığını, bunun da geleneksel güvenlik yöntemleri kullanılarak tespit edilmesi ve analiz edilmesinde önemli bir zorluk teşkil ettiğini ekliyor.
Larin, “iOS cihazlardan bahsediyorsak, bu sistemlerin kapalı yapısı nedeniyle bu tür saldırıları tespit etmek gerçekten zor” diyor. “Bunlar için mevcut olan tek tespit yöntemleri, ağ trafiği analizi ve iTunes ile yapılan cihaz yedeklemelerinin adli analizini gerçekleştirmektir.”
Buna karşılık masaüstü ve dizüstü macOS sistemlerinin daha açık olduğunu ve bu nedenle bunlar için daha etkili tespit yöntemlerinin mevcut olduğunu açıklıyor.
“Bu cihazlara yüklemek mümkündür uç nokta tespiti ve yanıtı (EDR) Bu tür saldırıların tespit edilmesine yardımcı olabilecek çözümler” diye belirtiyor Larin.
Güvenlik ekiplerinin işletim sistemlerini, uygulamalarını ve antivirüs yazılımlarını düzenli olarak güncellemelerini tavsiye ediyor; bilinen tüm güvenlik açıklarını düzeltin; ve SOC ekiplerine en son tehdit istihbaratına erişim sağlayın.
Larin, “Olayların uç nokta düzeyinde tespiti, araştırılması ve zamanında iyileştirilmesi için EDR çözümlerini uygulayın, kalıcı bulaşmaları engellemek için günlük olarak yeniden başlatın, sıfır tıklamayla yararlanma risklerini azaltmak için iMessage ve Facetime’ı devre dışı bırakın ve bilinen güvenlik açıklarına karşı koruma sağlamak için iOS güncellemelerini derhal yükleyin.” ekler.
