РБК Компании

Kaspersky обнаружила критическую уязвимость в процессорах Apple

В «Лаборатории Касперского» обнаружили ранее неизвестную аппаратную функцию в айфонах Apple, критически важную в реализации кампании «Операция Триангуляция»
Kaspersky обнаружила критическую уязвимость в процессорах Apple

Речь идет об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе на кристалле), с помощью которой атакующие обходили аппаратную защиту защищенных областей памяти ядра в смартфонах iPhone до версии 16.6. Эксперты представили новые подробности Операции Триангуляция в рамках конгресса Chaos Communication Congress в Гамбурге.

Обнаруженная уязвимость представляет собой не используемую в прошивке аппаратную функцию, которая, скорее всего, предназначалась для тестирования или отладки. После того как жертва получала скрытое сообщение iMessage с zero-click эксплойтом во вложении и после того, как злоумышленники получали возможность исполнять код и повышали привилегии с помощью этого эксплойта, они использовали эту аппаратную функцию для обхода аппаратных средств защиты чипов Apple и манипулирования содержимым защищенных областей памяти. Этот шаг был очень важен для получения полного контроля над устройством. К настоящему времени Apple устранила эту уязвимость. 

Насколько известно «Лаборатории Касперского», функция не была задокументирована. Она не используется в прошивке и ее было трудно обнаружить и проанализировать традиционными методами. Поскольку эта функция неиспользуемая, экспертам неизвестно, как злоумышленники догадались о способах ее применения. Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского», которые занимались реверс-инжинирингом, тщательно проанализировали, как в iPhone интегрируются аппаратная и программная части. Особенно они сфокусировались на методе ввода-вывода с отображением памяти (Memory-mapped I/O) — адресах, необходимых для обеспечения взаимодействия между центральным процессором и периферийными устройствами в системе. Неизвестные адреса MMIO, применявшиеся злоумышленниками для обхода аппаратной защиты памяти ядра, не были обнаружены ни в одном из диапазонов, определенных в файле дерева устройств. Это представляло собой серьезную проблему. Кроме того, команде пришлось разобрать сложную схему работы системы на кристалле и ее взаимодействия с операционной системой iOS, особенно в части управления памятью и механизмов защиты. Этот процесс включал в себя тщательное изучение различных файлов дерева устройств, исходных кодов, образов ядра и прошивок в поисках любых ссылок на эти адреса MMIO.

«Это не рядовая уязвимость. Из-за закрытого характера экосистемы iOS процесс ее поиска был сложным и длительным, он требовал всестороннего понимания как аппаратной, так и программной архитектуры. Данная уязвимость доказывает, что даже самые современные аппаратные средства защиты бессильны перед лицом изощренного злоумышленника, пока существуют аппаратные функции, позволяющие эти средства защиты обойти», — рассказывает Борис Ларин, ведущий исследователь киберугроз в «Лаборатории Касперского».

Операция Триангуляция — это APT-кампания, которой подверглись iOS-устройства. «Лаборатория Касперского» сообщила летом 2023 года. Для атак использовался сложный метод распространения эксплойтов через сообщения в iMessage с использованием четырех уязвимостей нулевого дня для устройств iOS до версии 16.2. При этом от пользователей не требовалось никаких действий. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. После уведомления от «Лаборатории Касперского» компания Apple официально выпустила обновления безопасности, которые устраняли четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Они затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на macOS, Apple TV и Apple Watch.

Подробный анализ всех уязвимостей и эксплойтов, использовавшихся в Операции Триангуляция, содержится в отчете.

Для защиты от целевых атак эксперты «Лаборатории Касперского» рекомендуют компаниям:

  • регулярно обновлять операционную систему, приложения и антивирусное ПО, чтобы вовремя устранять уязвимости;
  • обеспечивать сотрудникам центра управления безопасностью (SOC) доступ к информации об угрозах (TI);
  • повышать квалификацию сотрудников, отвечающих за безопасность, в том числе по новейшим целевым угрозам;
  • использовать EDR-решения для выявления и реагирования на инциденты на уровне конечных устройств.

Интересное:

Новости отрасли:

Все новости:

Профиль

Дата регистрации26.06.1997
Уставной капитал100 000,00 ₽
Юридический адрес Г.Москва Ш. ЛЕНИНГРАДСКОЕ Д. 39А СТР. 2
ОГРН 1027739867473
ИНН / КПП 7713140469 774301001

Контакты

Адрес 125212, Россия, г. Москва, Ленинградское шоссе, д. 39 А, стр. 3, БЦ «Олимпия Парк»

Социальные сети

ГлавноеЭкспертыДобавить
новость
КейсыМероприятия