[新聞] 卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻

看板MobileComm (行動通訊)作者 (誠誠小屁孩)時間10月前 (2023/12/29 01:29), 10月前編輯推噓17(17030)
留言47則, 27人參與, 10月前最新討論串1/1
**[新聞] 內容須與手機通訊有關,同時須注意智慧財產權。** 發文時須使用原文標題內文須依格式填寫,若原標題過長,請於內文完整填上修改新聞 內容者須以色碼標示。 心得須達繁體中文30字以上,20日以上之舊文,須超過250字(不含標點符號)。 應提供對該則新聞之看法、評論或補充事項,若非視同未提供。 新聞標題須符合內文,且不可分享標題含有誇大、含糊不清或過於主觀之新聞。 禁止假借新聞挾帶廣告/業配(2-1)、政治文(1-3)。 有違 [新聞] 格式與規定發文,處刪文及水桶14天,累犯者加重至一個月起跳,另有 罰則者不在此限。 ========若已詳細閱讀,請將上述引言刪掉,ctrl+y可刪一整行========= 範本格式 (請依序謄寫,禁止更動格式,綠色範例可刪除) ────────────────────────────────────── 1.原文連結:連結過長者請使用短網址。 https://www.ithome.com.tw/news/160590 2.原文標題:標題須完整寫出且須符合內文(否則依板規刪除並水桶)。 卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻擊鏈細節 3.原文來源(媒體/作者):例:蘋果日報/王大明(若無署名作者則不須) iThome/陳曉莉 4.原文內容:請刊登完整全文(否則依板規刪除並水桶)。 卡巴斯基試圖釐清駭客如何串連4個蘋果零時差漏洞,發動以iOS裝置為目標的攻擊行動 Operation Triangulation 2023-12-28發表 https://i.imgur.com/6fDPyGo.jpg
資安業者卡巴斯基(Kaspersky)在今年6月揭露了一個以iOS裝置為目標的攻擊行動 Operation Triangulation,當時僅說駭客可藉由傳送一個帶有附件的iMessage訊息予受 害者,就能觸發遠端程式攻擊漏洞,並未公布漏洞細節,但本周卡巴斯基公開了 Operation Triangulation所使用的4個零時差漏洞,還說這是他們自蘋果、微軟、Adobe 及Google等產品中所發現的逾30個零時差漏洞中,所見過最複雜的攻擊鏈,其中的 CVE-2023-38606到底是如何被濫用的,迄今仍是個謎團。 Operation Triangulation利用了4個零時差漏洞,分別是位於FontParser中的遠端程式攻 擊漏洞CVE-2023-41990,核心中的整數溢位漏洞CVE-2023-32434,核心中的可用來繞過頁 面保護層的CVE-2023-38606漏洞,以及存在於WebKit中可造成任意程式執行的記憶體毀損 漏洞CVE-2023-32435。 值得注意的是,卡巴斯基發現Operation Triangulation最古老的感染痕跡發生在2019年 ,所適用的最新iOS版本為 iOS 16.2,而蘋果一直到今年6月才修補它們,意謂著駭客早 已偷偷滲透iMessage超過4年。 分析顯示,駭客先是藉由傳送惡意的iMessage附件來利用CVE-2023-41990漏洞,以執行一 個以JavaScript撰寫的權限擴張攻擊程式,接著再利用CVE-2023-32434 漏洞取得記憶體 的讀寫權限,再以CVE-2023-38606漏洞繞過頁面保護層(Page Protection Layer),在 成功攻擊上述3個漏洞之後,駭客即可對裝置執行任何操作,包括執行間諜軟體,然而, 駭客卻選擇了注入一個酬載,並清除所有攻擊痕跡,再於隱形模式執行了一個Safari程序 ,以驗證受害者,檢查通過之後才繼續利用下一個位於WebKit中的CVE-2023-32435漏洞以 執行Shellcode,接著駭客即重複透過先前的漏洞來載入惡意程式。 這除了是卡巴斯基團隊所見過的最複雜的攻擊鏈之外,即使該團隊Operation Triangulation已有數月之久,但仍無法解開有關CVE-2023-38606漏洞的謎團。 研究人員解釋,最近的iPhone針對核心記憶體的敏感區域採用了基於硬體的安全保護,以 讓駭客就算能夠讀寫核心記憶體,也無法控制整個裝置,然而,CVE-2023-38606漏洞的存 在是因為駭客利用了蘋果系統單晶片上的另一個硬體功能來繞過此一基於硬體的安全保護 。 具體而言,當駭客將資料、位址及資料雜湊寫入該晶片上未被韌體使用的硬體暫存器時, 就能在寫入資料至特定的位址時,繞過基於硬體的記憶體保護。因為相關的硬體暫存器並 未受到韌體的監管或保護。 研究人員的疑惑在於,此一硬體功能從何而來?如果蘋果的韌體都未使用它,駭客又如何 得知怎麼操控它?最可能的解釋是它可能是工廠或蘋果工程師用來測試或除錯的,或許先 前曾不小心出現在韌體中,之後又被移除。 卡巴斯基認為,CVE-2023-38606漏洞彰顯了一件事,這些基於硬體的先進保護機制,只要 有硬體功能得以繞過,在面臨尖端駭客時也是沒用的。此外,硬體安全往往仰賴於隱蔽的 安全,使得它的逆向工程比軟體更難,但這是一種有缺陷的方式,因為所有的秘密遲早都 會被揭露,藉由隱蔽所實現的安全永遠不可能真正安全。 5.心得/評論:內容須超過繁體中文30字(不含標點符號)。 卡巴斯基部落格原文: Operation Triangulation: The last (hardware) mystery https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ If we try to describe this feature and how attackers use it, it all comes down to this: attackers are able to write the desired data to the desired physical address with [the] bypass of [a] hardware-based memory protection by writing the data, destination address and hash of data to unknown, not used by the firmware, hardware registers of the chip. Our guess is that this unknown hardware feature was most likely intended to be used for debugging or testing purposes by Apple engineers or the factory, or was included by mistake. Since this feature is not used by the firmware, we have no idea how attackers would know how to use it https://i.imgur.com/BnAIwnk.png
國外新聞: 4-year campaign backdoored iPhones using possibly the most advanced exploit ever https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection -campaign-targeted-secret-hardware-feature/ 這次的攻擊主要由 4 個零時差漏洞的交互作用下達到攻擊者的目的, 其中最讓人疑惑的是 CVE-2023-38606 , 攻擊者知道利用 GPU 協處理器附近未被官方文件記載的記憶體位置進行讀寫, 這些記憶體位置主要與 ARM CoreSight MMIO 暫存器有關, 為蘋果所自定義的,主要是為了 Debug 使用。 另外這些記憶體位置也沒有被系統韌體所使用, 也就是一個出貨之後可能從來都不會被使用的閒置記體體空間, 攻擊者究竟是如何在沒有官方文件的情況下: 1) 知道該記憶體位置可以寫入 2) 知道撰寫時要從這個角度出發 且該暫存器所使用的演算法也非常的簡易, 僅由一個寫死的 sbox 的查表組成, 很容易被試出來。 Asahi Linux 作者則提到這應該與 ECC 檢查有關, 且它的演算法跟任天堂的 Wii 相當類似。 https://social.treehouse.systems/@marcan/111655847458820583 另外他也認為最大的謎團在於如何知道要從這個角度下手, 比較大的可能性是蘋果內部的文件外流導致, 或者在某一個版本流出了這方面的資訊讓攻擊者有方向可以著手。 蘋果目前處理的方案為把那幾個被攻擊使用的記憶體位置直接標記成 DENY, 但這方面的攻擊恐將不會就此結束, 因為若有人又在附近其他的位置找到一樣的漏洞, 便能使用類似的攻擊手法繼續進行攻擊。 這個未使用記憶體已確認出現在以下處理器型號: arm64e: A12-A16 & M1-M2 (A17 Pro 仍待確認) 此為硬體級漏洞,無法透過升級系統徹底消除。 (目前也只是部分標記並強制拒絕存取) 另目前仍不知道攻擊者可能隸屬於哪一個組織, 但是目前已知被攻擊的對象為俄羅斯的外交單位。 以上。 ────────────────────────────────────── --

12/04 23:42,
[新聞]有狼師一直戳女學森(.)(.)而被家長吉上法院...
12/04 23:42

12/04 23:44,
) (
12/04 23:44

12/04 23:46,
( Y )
12/04 23:46

12/04 23:48,
\|/
12/04 23:48

12/05 00:47,
(╮⊙▽⊙)ノ|||
12/05 00:47

12/05 01:17,
/|\╰╮o( ̄▽ ̄///)<
12/05 01:17
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.87.99 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1703784554.A.2A4.html ※ 編輯: Lyeuiechang (123.192.87.99 臺灣), 12/29/2023 01:31:46

12/29 01:41, 10月前 , 1F
有內鬼
12/29 01:41, 1F

12/29 01:45, 10月前 , 2F
這點 android 就不錯就是有漏洞大家幫忙抓
12/29 01:45, 2F

12/29 03:09, 10月前 , 3F
韌體跟軟體有什麼差異呀
12/29 03:09, 3F

12/29 03:14, 10月前 , 4F
韌體是軟體跟硬體的橋樑,你可以這樣想
12/29 03:14, 4F

12/29 03:19, 10月前 , 5F
它就是非常低階的軟體,只處理一些直接的指令
12/29 03:19, 5F

12/29 03:19, 10月前 , 6F
比如對 CPU 就是能跑多少頻率 (就是 BIOS/UEFI
12/29 03:19, 6F

12/29 03:19, 10月前 , 7F
或是 SSD 的主控分配的順序
12/29 03:19, 7F

12/29 06:24, 10月前 , 8F
哀鳳好安全
12/29 06:24, 8F

12/29 06:27, 10月前 , 9F
漏洞放給你打4年也沒事 當然是安全
12/29 06:27, 9F

12/29 07:12, 10月前 , 10F
現在的javascript太強大了啦
12/29 07:12, 10F

12/29 07:50, 10月前 , 11F
推4樓
12/29 07:50, 11F

12/29 08:03, 10月前 , 12F
能拿到內部資料又遲遲不修復,不就蘋果自己搞的?
12/29 08:03, 12F

12/29 08:16, 10月前 , 13F
這看起來就是因為apple 全採用封閉系統,然後又部
12/29 08:16, 13F

12/29 08:16, 10月前 , 14F
分資料外流導致的,最安全的Apple (笑)
12/29 08:16, 14F

12/29 08:24, 10月前 , 15F
想到幾年前 Intel CPU 也發生類似狀況,很多主機板
12/29 08:24, 15F

12/29 08:25, 10月前 , 16F
相隔多年後緊急出新版韌體補漏洞、Windows 出 patch
12/29 08:25, 16F

12/29 08:26, 10月前 , 17F
;洞補起來但是運算效能大打折扣。
12/29 08:26, 17F

12/29 08:31, 10月前 , 18F
之前一堆人說卡巴是寫病毒的,現在進階了?
12/29 08:31, 18F

12/29 09:59, 10月前 , 19F
這個比較好玩的是又可能可以越獄了
12/29 09:59, 19F

12/29 10:04, 10月前 , 20F
對欸當年 checkra1n 一直用到 Xs 才被封掉
12/29 10:04, 20F

12/29 10:15, 10月前 , 21F
卡巴斯基,繁體中文版沒有免費,反而簡體中文與英文
12/29 10:15, 21F

12/29 10:15, 10月前 , 22F
有,先噓這家公司
12/29 10:15, 22F

12/29 10:21, 10月前 , 23F
看起來跟融毀漏洞不太一樣,融毀是對cpu快取的旁路
12/29 10:21, 23F

12/29 10:21, 10月前 , 24F
攻擊,這個是存取未使用的暫存器,當時降效能的韌
12/29 10:21, 24F

12/29 10:21, 10月前 , 25F
體修補應該也不適用這個漏洞
12/29 10:21, 25F

12/29 10:53, 10月前 , 26F
12F 早在iOS12時就發現以色列公司
12/29 10:53, 26F

12/29 10:53, 10月前 , 27F
寫的飛馬間諜病毒漏洞 Apple也是
12/29 10:53, 27F

12/29 10:53, 10月前 , 28F
拖了N年才在iOS16修復漏洞
12/29 10:53, 28F

12/29 11:11, 10月前 , 29F
是不是留給美國政府自己用的漏洞
12/29 11:11, 29F

12/29 11:34, 10月前 , 30F
已知被攻擊單位為俄羅斯外交單位
12/29 11:34, 30F

12/29 11:38, 10月前 , 31F
也就是說使用該漏洞的,大致應該是歐美駭客,這幾
12/29 11:38, 31F

12/29 11:38, 10月前 , 32F
年俄烏衝突、美俄交鋒,想想也知道什麼回事,就資
12/29 11:38, 32F

12/29 11:38, 10月前 , 33F
訊戰而已。
12/29 11:38, 33F

12/29 11:38, 10月前 , 34F
沒被發現前叫後門,被發現後叫漏洞
12/29 11:38, 34F

12/29 11:44, 10月前 , 35F
還好我用Pixel
12/29 11:44, 35F

12/29 13:19, 10月前 , 36F
卡巴繁中要抓某個版號以前的才有免費版
12/29 13:19, 36F

12/29 14:07, 10月前 , 37F
古老的諺語提到只要是人為 就一定有漏洞 不管是人
12/29 14:07, 37F

12/29 14:07, 10月前 , 38F
心還是作為
12/29 14:07, 38F

12/29 17:39, 10月前 , 39F
intel 那個是偷吃步,才會有那個問題
12/29 17:39, 39F

12/29 18:27, 10月前 , 40F
把各家都有實作的預測執行說成偷吃步?
12/29 18:27, 40F

12/29 19:23, 10月前 , 41F
俄羅斯被攻擊 沒事兒是蘋果跟萬惡美帝合作
12/29 19:23, 41F

12/29 19:33, 10月前 , 42F
聊iMessage 時可別罵庫克
12/29 19:33, 42F

12/29 20:15, 10月前 , 43F
封閉系統都能顧不好也太智障
12/29 20:15, 43F

12/29 21:44, 10月前 , 44F
用到四個0day漏洞的奢侈攻擊 是大人物才要這樣弄吧
12/29 21:44, 44F

12/29 23:26, 10月前 , 45F
難怪水果突然願意接納rcs了
12/29 23:26, 45F

12/30 07:58, 10月前 , 46F
樓樓上 應該是吧? 還要先檢查手機主人是誰呢?
12/30 07:58, 46F

12/30 07:59, 10月前 , 47F
惡意程式才決定下一步要做什麼
12/30 07:59, 47F
文章代碼(AID): #1bZR1gAa (MobileComm)
文章代碼(AID): #1bZR1gAa (MobileComm)