Utrecht, 27 december 2023 – Kaspersky's Global Research and Analysis Team (GReAT) heeft een tot nu toe onbekende hardwarefunctie in Apple iPhones onthuld, die cruciaal is voor de Operation Triangulation-campagne. Het team presenteerde deze ontdekking op het 37e Chaos Communication Congress in Hamburg.
Kaspersky's GReAT-team ontdekte een kwetsbaarheid in het Apple system-on-a-chip, of SoC, die een cruciale rol heeft gespeeld in de recente iPhone-aanvallen, bekend als Operation Triangulation. Hierdoor konden aanvallers de hardwarematige geheugenbeveiliging op iPhones met iOS-versies tot en met iOS 16.6 omzeilen.
De ontdekte kwetsbaarheid is een hardwarefunctie, mogelijk gebaseerd op het principe van "beveiliging door middel van onopvallendheid", en was mogelijk bedoeld voor testen of debuggen. Na de eerste 0-click iMessage aanval en de daaropvolgende privilege-escalatie, maakten de aanvallers gebruik van deze hardwarefunctie om hardware-gebaseerde beveiliging te omzeilen en de inhoud van beschermde geheugengebieden te manipuleren. Deze stap was cruciaal voor het verkrijgen van volledige controle over het apparaat. Apple heeft het probleem, geïdentificeerd als
CVE-2023-38606, verholpen.
Voor zover Kaspersky weet, was deze functie niet openbaar gedocumenteerd, wat een aanzienlijke uitdaging vormde bij de detectie en analyse ervan met behulp van conventionele beveiligingsmethoden. GReAT-onderzoekers deden aan uitgebreide reverse engineering en analyseerden nauwgezet de hardware- en software-integratie van de iPhone, waarbij ze zich met name concentreerden op de Memory-Mapped I/O, of MMIO-adressen, die cruciaal zijn voor het faciliteren van efficiënte communicatie tussen de CPU en randapparatuur in het systeem. Onbekende MMIO-adressen, die door de aanvallers werden gebruikt om de hardwaregebaseerde kernel geheugenbescherming te omzeilen, werden in geen enkele apparaatboomreeks geïdentificeerd, wat een aanzienlijke uitdaging vormde. Het team moest ook de ingewikkelde werking van de SoC en de interactie met het iOS-besturingssysteem ontcijferen, vooral wat betreft geheugenbeheer en beschermingsmechanismen. Dit proces bestond uit een grondig onderzoek van verschillende apparaatstructuurbestanden, broncodes, kernel-afbeeldingen en firmware, in een zoektocht naar verwijzingen naar deze MMIO-adressen.
"Dit is geen gewone kwetsbaarheid. Vanwege de gesloten aard van het iOS ecosysteem was het ontdekkingsproces zowel uitdagend als tijdrovend en vereiste het een uitgebreid begrip van zowel hardware- als softwarearchitecturen. Wat deze ontdekking ons weer eens leert, is dat zelfs geavanceerde hardwaregebaseerde beveiligingen ineffectief kunnen worden gemaakt tegenover een geavanceerde aanvaller, vooral wanneer er hardwarefuncties zijn die het mogelijk maken om deze beveiligingen te omzeilen", zegt Boris Larin, hoofd security-researcher bij Kaspersky's GReAT.
"Operation Triangulation' is een Advanced Persistent Threat (APT)-campagne gericht op iOS-apparaten die eerder deze zomer door Kaspersky is ontdekt. Deze geraffineerde campagne maakt gebruik van 'zero-click exploits' die via iMessage worden verspreid, waardoor aanvallers volledige controle krijgen over het doelapparaat en toegang krijgen tot gebruikersgegevens. Apple heeft hierop gereageerd door beveiligingsupdates uit te brengen voor vier zero-day kwetsbaarheden die door onderzoekers van Kaspersky waren geïdentificeerd: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 en CVE-2023-41990. Deze kwetsbaarheden hebben invloed op een breed spectrum van Apple producten, waaronder iPhones, iPods, iPads, macOS-apparaten, Apple TV en Apple Watch. Kaspersky heeft Apple ook op de hoogte gebracht van de uitbuiting van de hardwarefunctie, wat ertoe heeft geleid dat het bedrijf de kwetsbaarheid heeft verholpen.
Lees het rapport op
Securelist.com voor meer informatie over Operation Triangulation en de technische details achter de analyse.
###
Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op
www.kaspersky.nl.