Ещё в июне этого года Apple закрыла уязвимость «Операция триангуляция» с релизом iOS 16.5.1.
Сегодня Лаборатория Касперского впервые поделилась подробностями этой уязвимости iOS, которая позволяла получить доступ к устройству и собрать все пользовательские данные через iMessage. Что из себя представляет вирус и как он работает, рассказали исследователи безопасности Борис Ларин, Леонид Безверченко и Георгий Кучерин.
Атака включала в себя четыре уязвимости «нулевого дня». Вот, как это выглядело поэтапно:
1. Злоумышленники отправляют вредоносное вложение iMessage, которое приложение обрабатывает, не показывая никаких признаков пользователю.
2. Для удалённого выполнения кода вложение эксплуатирует уязвимость CVE-2023-41990 в недокументированной инструкции ADJUST, предназначенной для шрифтов TrueType, которая присутствовала только на устройствах Apple. Она существовала с начала 90-х и была удалена в вышедшем исправлении.
3. В этой атаке использовалось возвратно- и переходно-ориентированное программирование. Взлом происходил с использованием языка запросов NSExpression/NSPredicate. А в среду библиотеки JavaScriptCore вносились изменения, позволявшие выполнить эксплойт на JavaScript для повышения привилегий.
4. Эксплойт запутан, чтобы сделать его нечитаемым и минимизировать размер. В нем около 11 000 строк кода, которые посвящены манипуляциям с памятью JavaScriptCore и памятью ядра.
5. Вирус использует DollarVM ($vm), отладочный функционал JavaScriptCore, чтобы манипулировать памятью JavaScriptCore из скрипта и исполнять функции API.
6. Эксплойт разработали для запуска на старых и новых iPhone, он предусматривает обход Pointer Authentication Code (PAC) для работы на более новых моделях.
Он использует уязвимость CVE-2023-32434, связанную с целочисленным переполнением в системных вызовах для работы с памятью ядра XNU. Это позволяло получить доступ на чтение-запись ко всей физической памяти устройства на уровне пользователя.
Для обхода PPL использовались аппаратные регистры ввода-вывода через память (MMIO). Эту проблему исправили в CVE-2023-38606.
7. Вирус получает полный контроль над устройством и может запускать шпионское ПО. Однако хакеры решили поступить иначе: запустили процесс IMAgent и внедрили в него полезную нагрузку, стирающую с устройства следы атаки; запустили процесс Safari в фоновом режиме и перенаправили его на специальный сайт для перехода к следующему этапу.
8. Этот сайт содержит скрипт, верифицирующий жертву, и, если проверка успешно пройдена, то происходит переход к следующему этапу — загрузке эксплойта для Safari. Он использует CVE-2023-32435, связанную с выполнением шелл-кода.
9. Шелл-код запускает ещё один эксплойт ядра в виде объектного файла Mach. Он использует те же уязвимости CVE-2023-32434 и CVE-2023-38606.
Большая часть кода предназначена для чтения памяти ядра и манипуляций с ней. В нем присутствуют различные утилиты для работы с уже скомпрометированными устройствами, которые в основном не используются.
10. Эксплойт получает root-права и переходит к выполнению других этапов, которые загружают программы для слежки за пользователем.
Исследователи отметили, что почти перепроектировали «каждый аспект этой цепочки атак» и в 2024 году опубликуют больше статей, подробно посвященных каждой уязвимости. [9to5]
(24 голосов, общий рейтинг: 4.67 из 5)
Артём Баусов
@DralkerГлавный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. По всем вопросам пишите в Telegram: @TemaBausov
🙈 Комментарии 11