------------------------------------------------------------------------------ 国外消息至少附上简易翻译，国内消息请附上介绍或心得。 若明显仅复制贴上、有洗文章之嫌者，退文处置。 未使用预设格式及填入应有资料将删除。 越狱(JB)相关情报请使用[越狱]类别。 App介绍、特价或限时免费情报请使用[iAPP]类别 未使用正确分类及格式将删除文章。 发文前请详读板规，以免误踩板规。 ------------------------------------------------------------------------------ 以上讯息确认後请Ctrl + y 删除 【情报来源】 iThome 原网址：https://www.ithome.com.tw/news/160590 （原始未删减的网址，未提供者水桶60日） 短网址： （若原网址过长时请尽可能提供短网址，反之免提供） 【情报/优惠内容】(国外文章请附上简单翻译) 卡巴斯基公布锁定iMessage的Operation Triangulation复杂攻击链细节 卡巴斯基试图厘清骇客如何串连4个苹果零时差漏洞，发动以iOS装置为目标的攻击行动 Operation Triangulation 文/陈晓莉 | 2023-12-28发表 https://i.imgur.com/6fDPyGo.jpg 资安业者卡巴斯基（Kaspersky）在今年6月揭露了一个以iOS装置为目标的攻击行动 Operation Triangulation，当时仅说骇客可藉由传送一个带有附件的iMessage讯息予受 害者，就能触发远端程式攻击漏洞，并未公布漏洞细节，但本周卡巴斯基公开了 Operation Triangulation所使用的4个零时差漏洞，还说这是他们自苹果、微软、Adobe 及Google等产品中所发现的逾30个零时差漏洞中，所见过最复杂的攻击链，其中的 CVE-2023-38606到底是如何被滥用的，迄今仍是个谜团。 Operation Triangulation利用了4个零时差漏洞，分别是位於FontParser中的远端程式攻 击漏洞CVE-2023-41990，核心中的整数溢位漏洞CVE-2023-32434，核心中的可用来绕过页 面保护层的CVE-2023-38606漏洞，以及存在於WebKit中可造成任意程式执行的记忆体毁损 漏洞CVE-2023-32435。 值得注意的是，卡巴斯基发现Operation Triangulation最古老的感染痕迹发生在2019年 ，所适用的最新iOS版本为 iOS 16.2，而苹果一直到今年6月才修补它们，意谓着骇客早 已偷偷渗透iMessage超过4年。 分析显示，骇客先是藉由传送恶意的iMessage附件来利用CVE-2023-41990漏洞，以执行一 个以JavaScript撰写的权限扩张攻击程式，接着再利用CVE-2023-32434 漏洞取得记忆体 的读写权限，再以CVE-2023-38606漏洞绕过页面保护层（Page Protection Layer），在 成功攻击上述3个漏洞之後，骇客即可对装置执行任何操作，包括执行间谍软体，然而， 骇客却选择了注入一个酬载，并清除所有攻击痕迹，再於隐形模式执行了一个Safari程序 ，以验证受害者，检查通过之後才继续利用下一个位於WebKit中的CVE-2023-32435漏洞以 执行Shellcode，接着骇客即重复透过先前的漏洞来载入恶意程式。 这除了是卡巴斯基团队所见过的最复杂的攻击链之外，即使该团队Operation Triangulation已有数月之久，但仍无法解开有关CVE-2023-38606漏洞的谜团。 研究人员解释，最近的iPhone针对核心记忆体的敏感区域采用了基於硬体的安全保护，以 让骇客就算能够读写核心记忆体，也无法控制整个装置，然而，CVE-2023-38606漏洞的存 在是因为骇客利用了苹果系统单晶片上的另一个硬体功能来绕过此一基於硬体的安全保护 。 具体而言，当骇客将资料、位址及资料杂凑写入该晶片上未被韧体使用的硬体暂存器时， 就能在写入资料至特定的位址时，绕过基於硬体的记忆体保护。因为相关的硬体暂存器并 未受到韧体的监管或保护。 研究人员的疑惑在於，此一硬体功能从何而来？如果苹果的韧体都未使用它，骇客又如何 得知怎麽操控它？最可能的解释是它可能是工厂或苹果工程师用来测试或除错的，或许先 前曾不小心出现在韧体中，之後又被移除。 卡巴斯基认为，CVE-2023-38606漏洞彰显了一件事，这些基於硬体的先进保护机制，只要 有硬体功能得以绕过，在面临尖端骇客时也是没用的。此外，硬体安全往往仰赖於隐蔽的 安全，使得它的逆向工程比软体更难，但这是一种有缺陷的方式，因为所有的秘密迟早都 会被揭露，藉由隐蔽所实现的安全永远不可能真正安全。 【介绍或心得】 卡巴斯基部落格原文： Operation Triangulation: The last (hardware) mystery https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ If we try to describe this feature and how attackers use it, it all comes down to this: attackers are able to write the desired data to the desired physical address with [the] bypass of [a] hardware-based memory protection by writing the data, destination address and hash of data to unknown, not used by the firmware, hardware registers of the chip. Our guess is that this unknown hardware feature was most likely intended to be used for debugging or testing purposes by Apple engineers or the factory, or was included by mistake. Since this feature is not used by the firmware, we have no idea how attackers would know how to use it https://i.imgur.com/BnAIwnk.png 国外新闻： 4-year campaign backdoored iPhones using possibly the most advanced exploit ever https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/ 这次的攻击主要由 4 个零时差漏洞的交互作用下达到攻击者的目的， 其中最让人疑惑的是 CVE-2023-38606 ， 攻击者知道利用 GPU 协处理器附近未被官方文件记载的记忆体位置进行读写， 这些记忆体位置主要与 ARM CoreSight MMIO 暂存器有关， 为苹果所自定义的，主要是为了 Debug 使用。 另外这些记忆体位置也没有被系统韧体所使用， 也就是一个出货之後可能从来都不会被使用的闲置记体体空间， 攻击者究竟是如何在没有官方文件的情况下： 1) 知道该记忆体位置可以写入 2) 知道撰写时要从这个角度出发 且该暂存器所使用的演算法也非常的简易， 仅由一个写死的 sbox 的查表组成， 很容易被试出来。 Asahi Linux 作者则提到这应该与 ECC 检查有关， 且它的演算法跟任天堂的 Wii 相当类似。 https://social.treehouse.systems/@marcan/111655847458820583 另外他也认为最大的谜团在於如何知道要从这个角度下手， 比较大的可能性是苹果内部的文件外流导致， 或者在某一个版本流出了这方面的资讯让攻击者有方向可以着手。 苹果目前处理的方案为把那几个被攻击使用的记忆体位置直接标记成 DENY， 但这方面的攻击恐将不会就此结束， 因为若有人又在附近其他的位置找到一样的漏洞， 便能使用类似的攻击手法继续进行攻击。 这个未使用记忆体已确认出现在以下处理器型号： arm64e: A12-A16 & M1-M2 (A17 Pro 仍待确认) 此为硬体级漏洞，无法透过升级系统彻底消除。 (目前也只是部分标记并强制拒绝存取) 另目前仍不知道攻击者可能隶属於哪一个组织， 但是目前已知被攻击的对象为俄罗斯的外交单位。 以上。 -- --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.192.87.99 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/iOS/M.1703784206.A.C6A.html ※ 编辑: Lyeuiechang (123.192.87.99 台湾), 12/29/2023 01:31:23