卡巴斯基公布高階iMessage攻擊方法：三角測量行動

Kaspersky 在第 37 屆 Chas Communication Congress（CCC）大會上披露了 iOS 的「三角測量行動」漏洞，該漏洞實際上是 Apple 內部用於測試的方法，被視為一個官方後門。這個漏洞讓黑客可以在未經互動的情況下利用 iMessage 安裝惡意軟體，從而完全控制 iOS 裝置。

安全威脅詳解

Kaspersky 在他們的演講中詳細披露了攻擊中使用的漏洞，以及這些漏洞的相關訊息。儘管我們每天都在發現並分析使用這些漏洞的新攻擊，但這次的攻擊鏈絕對是我們見過最複雜的。我們已經向 Adob​​e、Apple、Google 和 Microsoft 報告了 30 多個產品中的野外零日漏洞，而這次 iOS 漏洞被視為其中最引人注目的一個。

以下是此 0 點擊 iMessage 攻擊的簡要概述，該攻擊使用了四個零日漏洞，設計用於 iOS 16.2 及更高版本的 iOS 版本。

• 攻擊者發送惡意 iMessage 附件，應用程式會在不向使用者顯示任何跡象的情況下處理該附件。
• 此附件利用了未記錄的 Apple 獨有的 ADJUST TrueType 字型指令中的遠端程式碼執行漏洞 CVE-2023-41990 。該指令自九十年代初就已存在，後來被補丁刪除。
• 它使用面向返回/跳轉的程式設計和用 NSExpression/NSPredicate 查詢語言編寫的多個階段，修補 JavaScriptCore 庫環境以執行用 JavaScript 編寫的權限升級漏洞。
• 此 JavaScript 漏洞被混淆，使其完全不可讀並最小化其大小。儘管如此，它仍然有大約 11,000 行程式碼，主要用於 JavaScriptCore 和核心記憶體解析和操作。
• 它利用 JavaScriptCore 調試功能 DollarVM ($vm) 來獲得從腳本操作 JavaScriptCore 記憶體並執行本機 API 函數的能力。
• 它旨在支援新舊 iPhone，並包含一個指標身份驗證代碼 (PAC) 繞過功能，可用於利用最新型號。
• 它利用 XNU 記憶體映射系統呼叫（mach_make_memory_entry 和 vm_map）中的整數溢位漏洞CVE-2023-32434來取得使用者層級對裝置整個實體記憶體的讀取/寫入存取權限。
• 它使用硬體記憶體映射 I/O (MMIO) 暫存器來繞過頁面保護層 (PPL)。此問題已透過CVE-2023-38606 得到緩解。
• 利用所有漏洞後，JavaScript 漏洞可以對裝置執行任何操作，包括執行間諜軟體，但攻擊者選擇： (a) 啟動 IMAgent 進程並注入有效負載，以清除裝置中的漏洞利用痕跡；(b) 以不可見模式執行 Safari 流程，並將其轉送至下一階段的網頁。
• 網頁有一個腳本來驗證受害者，如果檢查通過，則接收下一階段：Safari 漏洞利用。
• Safari 漏洞利用 CVE-2023-32435來執行 shellcode。
• shellcode 以 Mach 目標檔案的形式執行另一個核心漏洞利用。它使用相同的漏洞：CVE-2023-32434 和 CVE-2023-38606。它的大小和功能也很大，但與用 JavaScript 編寫的核心漏洞完全不同。與利用上述漏洞相關的某些部分是兩者共有的。儘管如此，它的大部分程式碼也致力於解析和操作內核記憶體。它包含各種後期利用實用程式，但大部分未使用。
• 該漏洞利用獲得根權限並繼續執行其他階段，載入間諜軟體。我們在之前的貼文中介紹了這些階段。

相關文章：

Copyright © 2023 愛瘋日報
All rights reserved.