Kaspersky’s Global Research and Analysis Team (GReAT) heeft een tot nu toe onbekende hardwarefunctie in Apple iPhones onthuld, die cruciaal is voor de Operation Triangulation-campagne. Het team presenteerde deze ontdekking op het 37e Chaos Communication Congress in Hamburg. Kaspersky’s GReAT-team ontdekte een kwetsbaarheid in het Apple system-on-a-chip, of SoC, die een cruciale rol heeft gespeeld in de recente iPhone-aanvallen, bekend als Operation Triangulation. Hierdoor konden aanvallers de hardwarematige geheugenbeveiliging op iPhones met iOS-versies tot en met iOS 16.6 omzeilen.
De ontdekte kwetsbaarheid is een hardwarefunctie, mogelijk gebaseerd op het principe van “beveiliging door middel van onopvallendheid”, en was mogelijk bedoeld voor testen of debuggen. Na de eerste 0-click iMessage aanval en de daaropvolgende privilege-escalatie, maakten de aanvallers gebruik van deze hardwarefunctie om hardware-gebaseerde beveiliging te omzeilen en de inhoud van beschermde geheugengebieden te manipuleren. Deze stap was cruciaal voor het verkrijgen van volledige controle over het apparaat. Apple heeft het probleem, geïdentificeerd als CVE-2023-38606, verholpen.
Voor zover Kaspersky weet, was deze functie niet openbaar gedocumenteerd, wat een aanzienlijke uitdaging vormde bij de detectie en analyse ervan met behulp van conventionele beveiligingsmethoden. GReAT-onderzoekers deden aan uitgebreide reverse engineering en analyseerden nauwgezet de hardware- en software-integratie van de iPhone, waarbij ze zich met name concentreerden op de Memory-Mapped I/O, of MMIO-adressen, die cruciaal zijn voor het faciliteren van efficiënte communicatie tussen de CPU en randapparatuur in het systeem. Onbekende MMIO-adressen, die door de aanvallers werden gebruikt om de hardwaregebaseerde kernel geheugenbescherming te omzeilen, werden in geen enkele apparaatboomreeks geïdentificeerd, wat een aanzienlijke uitdaging vormde. Het team moest ook de ingewikkelde werking van de SoC en de interactie met het iOS-besturingssysteem ontcijferen, vooral wat betreft geheugenbeheer en beschermingsmechanismen. Dit proces bestond uit een grondig onderzoek van verschillende apparaatstructuurbestanden, broncodes, kernel-afbeeldingen en firmware, in een zoektocht naar verwijzingen naar deze MMIO-adressen.
“Dit is geen gewone kwetsbaarheid. Vanwege de gesloten aard van het iOS ecosysteem was het ontdekkingsproces zowel uitdagend als tijdrovend en vereiste het een uitgebreid begrip van zowel hardware- als softwarearchitecturen. Wat deze ontdekking ons weer eens leert, is dat zelfs geavanceerde hardwaregebaseerde beveiligingen ineffectief kunnen worden gemaakt tegenover een geavanceerde aanvaller, vooral wanneer er hardwarefuncties zijn die het mogelijk maken om deze beveiligingen te omzeilen”, zegt Boris Larin, hoofd security-researcher bij Kaspersky’s GReAT. “Operation Triangulation’ is een Advanced Persistent Threat (APT)-campagne gericht op iOS-apparaten die eerder deze zomer door Kaspersky is ontdekt. Deze geraffineerde campagne maakt gebruik van ‘zero-click exploits’ die via iMessage worden verspreid, waardoor aanvallers volledige controle krijgen over het doelapparaat en toegang krijgen tot gebruikersgegevens. Apple heeft hierop gereageerd door beveiligingsupdates uit te brengen voor vier zero-day kwetsbaarheden die door onderzoekers van Kaspersky waren geïdentificeerd: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 en CVE-2023-41990. Deze kwetsbaarheden hebben invloed op een breed spectrum van Apple producten, waaronder iPhones, iPods, iPads, macOS-apparaten, Apple TV en Apple Watch. Kaspersky heeft Apple ook op de hoogte gebracht van de uitbuiting van de hardwarefunctie, wat ertoe heeft geleid dat het bedrijf de kwetsbaarheid heeft verholpen.