Una característica de hardware previamente no documentada dentro del sistema en un chip (SoC) del iPhone de Apple permite la explotación de múltiples vulnerabilidades, lo que eventualmente permite a los atacantes eludir la protección de la memoria basada en hardware.
La vulnerabilidad juega un papel central en la sofisticada campaña de clic cero “Operación Triangulación” de amenaza persistente avanzada (APT), según un informe. reporte del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.
El Operación Triangulación Campaña de espionaje de ciberespionaje iOS existe desde 2019 y ha utilizado múltiples vulnerabilidades como días cero para eludir las medidas de seguridad en los iPhone, lo que representa un riesgo persistente para la privacidad y seguridad de los usuarios. Los objetivos han incluido diplomáticos rusos y otros funcionarios allí, así como empresas privadas como la propia Kaspersky.
En junio, Kaspersky lanzó un reporte ofreciendo detalles adicionales sobre el implante de software espía TriangleDB utilizado en la campaña, destacando numerosas capacidades únicas, por ejemplo, funciones deshabilitadas que podrían implementarse en el futuro.
Esta semana, el equipo presentó sus hallazgos más recientes en el 37º Congreso de Comunicación del Caos en Hamburgo, Alemania, calificándola de "la cadena de ataque más sofisticada" que habían visto hasta ahora utilizada en la operación.
El ataque sin clic está dirigido a la aplicación iMessage del iPhone, dirigida a versiones de iOS hasta iOS 16.2. Cuando se vio por primera vez, estaba explotando cuatro días cero con capas de ataque intrincadamente estructuradas.
Dentro del ataque móvil de cero clic de la 'Operación Triangulación'
El ataque comienza inocentemente cuando los actores maliciosos envían un archivo adjunto de iMessage, explotando la vulnerabilidad de ejecución remota de código (RCE). CVE-2023-41990.
Este exploit tiene como objetivo la instrucción de fuente ADJUST TrueType no documentada y exclusiva de Apple, que existe desde principios de los años noventa antes de un parche posterior.
Luego, la secuencia de ataque profundiza, aprovechando la programación orientada a retorno/salto y las etapas del lenguaje de consulta NSExpression/NSPredicate para manipular la biblioteca JavaScriptCore.
Los atacantes han incorporado un exploit de escalada privilegiada en JavaScript, cuidadosamente ofuscado para ocultar su contenido, que abarca aproximadamente 11,000 líneas de código.
Este intrincado exploit de JavaScript maniobra a través de la memoria de JavaScriptCore y ejecuta funciones API nativas explotando la función de depuración de JavaScriptCore DollarVM ($vm).
Explotación de una vulnerabilidad de desbordamiento de enteros rastreada como CVE-2023-32434 Dentro de las llamadas al sistema de mapeo de memoria de XNU, los atacantes obtienen acceso de lectura/escritura sin precedentes a la memoria física del dispositivo a nivel de usuario.
Además, evitan hábilmente la capa de protección de página (PPL) utilizando registros de E/S asignadas en memoria de hardware (MMIO), una vulnerabilidad preocupante. explotado como día cero por el grupo Operación Triangulación pero finalmente abordado como CVE-2023-38606 por Apple.
Al penetrar las defensas del dispositivo, los atacantes ejercen un control selectivo iniciando el proceso IMAgent, inyectando una carga útil para eliminar cualquier rastro de explotación.
Posteriormente, inician un proceso invisible de Safari redirigido a una página web que alberga la siguiente etapa del exploit.
La página web realiza la verificación de la víctima y, tras la autenticación exitosa, activa un exploit de Safari, utilizando CVE-2023-32435 para ejecutar un código shell.
Este shellcode activa otro exploit del kernel en forma de un archivo objeto Mach, aprovechando dos de los mismos CVE utilizados en etapas anteriores (CVE-2023-32434 y CVE-2023-38606).
Una vez que obtienen privilegios de root, los atacantes organizan etapas adicionales y eventualmente instalan software espía.
Una creciente sofisticación en los ciberataques al iPhone
El informe señaló que el intrincado ataque de múltiples etapas presenta un nivel de sofisticación sin precedentes, explotando diversas vulnerabilidades en dispositivos iOS y generando preocupaciones sobre el panorama cambiante de las amenazas cibernéticas.
Boris Larin, investigador principal de seguridad de Kaspersky, explica que la nueva vulnerabilidad del hardware posiblemente se base en el principio de "seguridad a través de la oscuridad" y puede haber estado destinada a pruebas o depuración.
"Tras el ataque inicial de iMessage sin hacer clic y la posterior escalada de privilegios, los atacantes aprovecharon la función para eludir las protecciones de seguridad basadas en hardware y manipular el contenido de las regiones de memoria protegidas", afirma. "Este paso fue crucial para obtener el control total sobre el dispositivo".
Añade que, hasta donde sabe el equipo de Kaspersky, esta característica no se ha documentado públicamente y el firmware no la utiliza, lo que presenta un desafío importante en su detección y análisis utilizando métodos de seguridad convencionales.
"Si hablamos de dispositivos iOS, debido a la naturaleza cerrada de estos sistemas, es muy difícil detectar este tipo de ataques", dice Larin. "Los únicos métodos de detección disponibles para estos son realizar un análisis del tráfico de red y un análisis forense de las copias de seguridad del dispositivo realizadas con iTunes".
Explica que, por el contrario, los sistemas macOS de sobremesa y portátiles son más abiertos y, por tanto, existen métodos de detección más eficaces para ellos.
“En estos dispositivos es posible instalar detección y respuesta de punto final (EDR) soluciones que pueden ayudar a detectar este tipo de ataques”, señala Larin.
Recomienda que los equipos de seguridad actualicen periódicamente su sistema operativo, aplicaciones y software antivirus; parchear cualquier vulnerabilidad conocida; y proporcionar a sus equipos SOC acceso a la información más reciente sobre amenazas.
"Implemente soluciones EDR para la detección, investigación y remediación oportuna de incidentes a nivel de endpoint, reinicie diariamente para interrumpir infecciones persistentes, desactive iMessage y Facetime para reducir los riesgos de explotación sin hacer clic e instale rápidamente actualizaciones de iOS para protegerse contra vulnerabilidades conocidas", Larin añade.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
