A cadeia de ataque 'mais sofisticada' do iPhone 'já vista' usou quatro dias 0 para criar uma exploração de 0 clique

LifeTechWebFebruary 17, 2024

0 3 minutes read

Entre 2019 e dezembro de 2022, uma vulnerabilidade extremamente avançada do iMessage estava à solta e acabou sendo chamada de “Operação Triangulação” pelos pesquisadores de segurança da Kasperksy que a descobriram. Agora, eles compartilharam tudo o que sabem sobre a “calabouço de ataque mais sofisticada” que “já viram”.

Hoje, no Chaos Communication Congress, os pesquisadores de segurança da Kaspersky Boris Larin, Leonid Bezverchenkoe Georgy Kucherin fez uma apresentação cobrindo a Operação Triangulação. Isso marcou a primeira vez que os três “revelaram publicamente os detalhes de todas as explorações e vulnerabilidades que foram usadas” no ataque avançado do iMessage.

Os pesquisadores também compartilharam hoje todo o seu trabalho no blog Kaspersky SecureList.

A exploração do Pegasus 0-click iMessage foi chamada de “uma das explorações mais tecnicamente sofisticadas”. E a Operação Triangulação parece estar num nível também terrível – Larin, Bezvershenko e Kucherin disseram: “Esta é definitivamente a calabouço de ataque mais sofisticada que já vimos”.

Prisão de ataque de 0 dia para exploração do iMessage com 0 clique

Esta vulnerabilidade existiu até o lançamento do iOS 16.2 em dezembro de 2022.

operation triangulation attack chain — através da Boris Larin, Leonid Bezverchenkoe Georgy Kucherin na Kaspersky

Cá está a complexa calabouço de ataque completa, incluindo os quatro dias 0 usados para obter privilégios de root do dispositivo da vítima:

Os invasores enviam um dentro malicioso do iMessage, que o aplicativo processa sem mostrar nenhum sinal ao usuário.

Nascente dentro explora a vulnerabilidade de realização remota de código CVE-2023-41990 na instrução de nascente ADJUST TrueType não documentada somente da Apple. Esta instrução existia desde o início dos anos noventa, antes de um patch removê-la.

Ele usa programação orientada a retorno/salto e vários estágios escritos na linguagem de consulta NSExpression/NSPredicate, corrigindo o envolvente da livraria JavaScriptCore para executar uma exploração de escalonamento de privilégios escrita em JavaScript.

Esta exploração de JavaScript é ofuscada para torná-la completamente ilegível e minimizar seu tamanho. Ainda assim, possui muro de 11.000 linhas de código, que são dedicadas principalmente ao JavaScriptCore e à estudo e manipulação da memória do kernel.

Ele explora o recurso de depuração JavaScriptCore DollarVM ($vm) para obter a capacidade de manipular a memória do JavaScriptCore a partir do script e executar funções de API nativas.

Ele foi projetado para suportar iPhones antigos e novos e incluía um meandro de Pointer Authentication Code (PAC) para exploração de modelos recentes.

Ele usa a vulnerabilidade de estouro de número inteiro CVE-2023-32434 nas syscalls de mapeamento de memória do XNU (mach_make_memory_entry e vm_map) para obter entrada de leitura/gravação a toda a memória física do dispositivo no nível do usuário.

Ele usa registros de E/S mapeados em memória de hardware (MMIO) para ignorar a estrato de proteção de página (PPL). Isso foi mitigado uma vez que CVE-2023-38606.

Depois de explorar todas as vulnerabilidades, a exploração do JavaScript pode fazer o que quiser no dispositivo, incluindo executar spyware, mas os invasores optaram por: (a) iniciar o processo IMAgent e injetar uma fardo útil que limpa os artefatos de exploração do dispositivo; (b) executar um processo Safari em modo invisível e encaminhá-lo para uma página da web com o próximo estágio.

A página web possui um script que verifica a vítima e, se a verificação for aprovada, passa para a próxima lanço: a exploração do Safari.

A exploração do Safari usa CVE-2023-32435 para executar um shellcode.

O shellcode executa outra exploração do kernel na forma de um registo de objeto Mach. Ele usa as mesmas vulnerabilidades: CVE-2023-32434 e CVE-2023-38606. Também é enorme em termos de tamanho e funcionalidade, mas completamente dissemelhante da exploração do kernel escrita em JavaScript. Certas partes relacionadas com a exploração das vulnerabilidades supra mencionadas são tudo o que os dois partilham. Ainda assim, a maior segmento do seu código também é dedicada à estudo e manipulação da memória do kernel. Ele contém vários utilitários pós-exploração, que em sua maioria não são utilizados.

A exploração obtém privilégios de root e prossegue para executar outras etapas, que carregam spyware. Abordamos essas etapas em nossas postagens anteriores.

Os pesquisadores destacam que fizeram engenharia reversa em quase “todos os aspectos dessa calabouço de ataque” e publicarão mais artigos em 2024, aprofundando cada vulnerabilidade e uma vez que ela foi usada.

Mas, curiosamente, Larin, Bezvershenko e Kucherin observam que ainda há um mistério quando se trata de CVE-2023-38606 para o qual gostariam de ajuda.

Especificamente, não está evidente uma vez que os invasores saberiam sobre o recurso de hardware oculto:

Estamos publicando os detalhes técnicos para que outros pesquisadores de segurança do iOS possam confirmar nossas descobertas e apresentar possíveis explicações sobre uma vez que os invasores tomaram conhecimento desse recurso de hardware.

Concluindo, Larin, Bezvershenko e Kucherin dizem que os sistemas “que dependem da 'segurança através da obscuridade' nunca poderão ser verdadeiramente seguros”.

Se quiser contribuir com o projeto, você pode encontrar os detalhes técnicos no post da Kaspersky.