“有史以来最复杂”的iPhone攻击链—利用四个零日漏洞创建了一个零点击利用程序
在2019年至2022年12月期间,一种极其先进的iMessage漏洞诞生,最终被发现它的卡巴斯基安全研究人员命名为“三角测量行动”。现在,他们分享了他们所知道的关于他们“见过的最复杂的攻击链”。今天在Chaos通信大会上,卡巴斯基安全研究员鲍里斯·拉林、列昂尼德·别兹维申科和格奥尔基·库切林进行了一场关于“三角行动”的演讲。这是他们三人首次“公开披露了在高级iMessage攻击中使用的所有漏洞和漏洞细节”。研究人员今天也在卡巴斯基SecureList博客上分享了他们的所有工作。以下是包括用于获取受害者设备根权限的四个零日漏洞在内的完整复杂攻击链:•攻击者发送一个恶意的iMessage附件,应用程序在不向用户显示任何迹象的情况下处理该附件。•此附件利用了未公开的、仅限苹果系统的ADJUSTTrueType字体指令中的远程代码执行漏洞CVE-2023-41990。该指令自九十年代初就存在,直到一个补丁将其移除。•它使用返回/跳转导向编程和多个用NSExpression/NSPredicate查询语言编写的阶段,通过修补JavaScriptCore库环境来执行用JavaScript编写的权限提升漏洞利用程序。•这个JavaScript漏洞利用代码被混淆处理,以使其完全无法阅读并尽可能减小其大小。尽管如此,它大约包含11,000行代码,主要用于JavaScriptCore和内核内存解析与操作。•它利用JavaScriptCore的调试功能DollarVM($vm)来获得从脚本操作JavaScriptCore内存和执行原生API函数的能力。•它旨在支持新旧款iPhone,并包含了一个指针认证码(PAC)绕过功能,用于对近期型号的利用。•它利用了XNU内存映射系统调用(mach_make_memory_entry和vm_map)中的整数溢出漏洞CVE-2023-32434,在用户级别获得对设备全部物理内存的读/写访问权限。•它使用硬件内存映射I/O(MMIO)寄存器来绕过页面保护层(PPL)。这一问题已作为CVE-2023-38606得到缓解。•在利用了所有漏洞之后,JavaScript漏洞利用程序可以对设备做任何它想做的事情,包括运行间谍软件,但攻击者选择:(a)启动IMAgent进程并注入一个清除设备上的利用痕迹的有效载荷;(b)以隐形模式运行Safari进程,并将其转发到带有下一阶段内容的网页。•网页中有一个脚本,用于验证受害者,如果检查通过,就会接收下一个阶段:Safari漏洞利用。•Safari漏洞利用CVE-2023-32435来执行shellcode。•Shellcode执行了另一个以Mach对象文件形式存在的内核漏洞利用程序。它使用了相同的漏洞:CVE-2023-32434和CVE-2023-38606。就大小和功能而言,它也是庞大的,但与用JavaScript编写的内核漏洞利用程序完全不同。与上述漏洞利用相关的某些部分是这两者共有的。然而,它的大部分代码也致力于解析和操作内核内存。它包含了各种后期利用工具,这些工具大多未被使用。•该漏洞获取了根权限,并继续执行其他阶段,这些阶段会加载间谍软件。我们在之前的帖子中介绍了这些阶段。标签:#Apple#零日漏洞#iPhone频道:@GodlyNews1投稿:@GodlyNewsBot
