卡巴斯基公布高階iMessage攻擊方法:三角測量行動
Kaspersky 在第 37 屆 Chas Communication Congress(CCC)大會上披露了 iOS 的「三角測量行動」漏洞,該漏洞實際上是 Apple 內部用於測試的方法,被視為一個官方後門。這個漏洞讓黑客可以在未經互動的情況下利用 iMessage 安裝惡意軟體,從而完全控制 iOS 裝置。
安全威脅詳解
Kaspersky 在他們的演講中詳細披露了攻擊中使用的漏洞,以及這些漏洞的相關訊息。儘管我們每天都在發現並分析使用這些漏洞的新攻擊,但這次的攻擊鏈絕對是我們見過最複雜的。我們已經向 Adobe、Apple、Google 和 Microsoft 報告了 30 多個產品中的野外零日漏洞,而這次 iOS 漏洞被視為其中最引人注目的一個。
以下是此 0 點擊 iMessage 攻擊的簡要概述,該攻擊使用了四個零日漏洞,設計用於 iOS 16.2 及更高版本的 iOS 版本。
- 攻擊者發送惡意 iMessage 附件,應用程式會在不向使用者顯示任何跡象的情況下處理該附件。
- 此附件利用了未記錄的 Apple 獨有的 ADJUST TrueType 字型指令中的遠端程式碼執行漏洞 CVE-2023-41990 。該指令自九十年代初就已存在,後來被補丁刪除。
- 它使用面向返回/跳轉的程式設計和用 NSExpression/NSPredicate 查詢語言編寫的多個階段,修補 JavaScriptCore 庫環境以執行用 JavaScript 編寫的權限升級漏洞。
- 此 JavaScript 漏洞被混淆,使其完全不可讀並最小化其大小。儘管如此,它仍然有大約 11,000 行程式碼,主要用於 JavaScriptCore 和核心記憶體解析和操作。
- 它利用 JavaScriptCore 調試功能 DollarVM ($vm) 來獲得從腳本操作 JavaScriptCore 記憶體並執行本機 API 函數的能力。
- 它旨在支援新舊 iPhone,並包含一個指標身份驗證代碼 (PAC) 繞過功能,可用於利用最新型號。
- 它利用 XNU 記憶體映射系統呼叫(mach_make_memory_entry 和 vm_map)中的整數溢位漏洞CVE-2023-32434來取得使用者層級對裝置整個實體記憶體的讀取/寫入存取權限。
- 它使用硬體記憶體映射 I/O (MMIO) 暫存器來繞過頁面保護層 (PPL)。此問題已透過CVE-2023-38606 得到緩解。
- 利用所有漏洞後,JavaScript 漏洞可以對裝置執行任何操作,包括執行間諜軟體,但攻擊者選擇: (a) 啟動 IMAgent 進程並注入有效負載,以清除裝置中的漏洞利用痕跡;(b) 以不可見模式執行 Safari 流程,並將其轉送至下一階段的網頁。
- 網頁有一個腳本來驗證受害者,如果檢查通過,則接收下一階段:Safari 漏洞利用。
- Safari 漏洞利用 CVE-2023-32435來執行 shellcode。
- shellcode 以 Mach 目標檔案的形式執行另一個核心漏洞利用。它使用相同的漏洞:CVE-2023-32434 和 CVE-2023-38606。它的大小和功能也很大,但與用 JavaScript 編寫的核心漏洞完全不同。與利用上述漏洞相關的某些部分是兩者共有的。儘管如此,它的大部分程式碼也致力於解析和操作內核記憶體。它包含各種後期利用實用程式,但大部分未使用。
- 該漏洞利用獲得根權限並繼續執行其他階段,載入間諜軟體。我們在之前的貼文中介紹了這些階段。
相關文章:
Copyright © 2023 愛瘋日報
All rights reserved.
All rights reserved.