Обнаружена критическая уязвимость в процессорах Apple

Обнаружена критическая уязвимость в процессорах Apple


Эксперты «Лаборатории Касперского» обнаружили ранее неизвестную аппаратную функцию в айфонах Apple, критически важную в реализации кампании «Операция Триангуляция».

Речь идёт об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе на кристалле), с помощью которой атакующие обходили аппаратную защиту защищённых областей памяти ядра в смартфонах iPhone до версии 16.6. Эксперты представили новые подробности Операции Триангуляция в рамках конгресса Chaos Communication Congress в Гамбурге.

Обнаруженная уязвимость представляет собой не используемую в прошивке аппаратную функцию, которая, скорее всего, предназначалась для тестирования или отладки. После того как жертва получала скрытое сообщение iMessage с zero-click эксплойтом во вложении и после того, как злоумышленники получали возможность исполнять код и повышали привилегии с помощью этого эксплойта, они использовали эту аппаратную функцию для обхода аппаратных средств защиты чипов Apple и манипулирования содержимым защищённых областей памяти. Этот шаг был очень важен для получения полного контроля над устройством. К настоящему времени Apple устранила эту уязвимость.

Насколько известно экспертам, функция не была задокументирована. Она не используется в прошивке и её было трудно обнаружить и проанализировать традиционными методами. Поскольку эта функция неиспользуемая, экспертам неизвестно, как злоумышленники догадались о способах её применения.

Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского», которые занимались реверс-инжинирингом, тщательно проанализировали, как в iPhone интегрируются аппаратная и программная части. Особенно они сфокусировались на методе ввода-вывода с отображением памяти (Memory-mapped I/O) — адресах, необходимых для обеспечения взаимодействия между центральным процессором и периферийными устройствами в системе. Неизвестные адреса MMIO, применявшиеся злоумышленниками для обхода аппаратной защиты памяти ядра, не были обнаружены ни в одном из диапазонов, определённых в файле дерева устройств. Это представляло собой серьёзную проблему. Кроме того, команде пришлось разобрать сложную схему работы системы на кристалле и её взаимодействия с операционной системой iOS, особенно в части управления памятью и механизмов защиты. Этот процесс включал в себя тщательное изучение различных файлов дерева устройств, исходных кодов, образов ядра и прошивок в поисках любых ссылок на эти адреса MMIO.

«Это не рядовая уязвимость. Из-за закрытого характера экосистемы iOS процесс её поиска был сложным и длительным, он требовал всестороннего понимания как аппаратной, так и программной архитектуры. Данная уязвимость доказывает, что даже самые современные аппаратные средства защиты бессильны перед лицом изощрённого злоумышленника, пока существуют аппаратные функции, позволяющие эти средства защиты обойти», — рассказывает Борис Ларин, ведущий исследователь киберугроз в «Лаборатории Касперского».

«Операция Триангуляция» — это APT-кампания, которой подверглись iOS-устройства. «Лаборатория Касперского» сообщила о ней летом 2023 года. Для атак использовался сложный метод распространения эксплойтов через сообщения в iMessage с использованием четырёх уязвимостей нулевого дня для устройств iOS до версии 16.2. При этом от пользователей не требовалось никаких действий. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. После уведомления от «Лаборатории Касперского» компания Apple официально выпустила обновления безопасности, которые устраняли четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Они затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на mac OS, Apple TV и Apple Watch.

Подробный анализ всех уязвимостей и эксплойтов, использовавшихся в Операции Триангуляция, содержится в отчёте.

Для защиты от целевых атак эксперты рекомендуют компаниям:

•   регулярно обновлять операционную систему, приложения и антивирусное ПО, чтобы вовремя устранять уязвимости;

•   обеспечивать сотрудникам центра управления безопасностью (SOC) доступ к информации об угрозах (TI);

•   повышать квалификацию сотрудников, отвечающих за безопасность, в том числе по новейшим целевым угрозам;

•   использовать EDR-решения для выявления и реагирования на инциденты на уровне конечных устройств;

•   изучать уведомления о киберугрозах, предоставляемых сервисами Kaspersky Incident Response и Digital Forensiс, для получения глубокой аналитики.