Bezpečnostní výskumníci spoločnosti Kaspersky nedávno zverejnili podrobnosti o vysoko sofistikovanej zraniteľnosti iMessage, známej ako „Operácia Triangulation“, ktorá pretrvávala od roku 2019 až do vydania iOS 16.2 v decembri 2022.

Zneužitie, ktoré sa opisuje ako „doteraz najsofistikovanejší reťazec útokov“, využívalo komplexnú postupnosť štyroch zraniteľností nultého dňa na získanie oprávnení root na zariadení obete. Na tému upozornil portál 9to5Mac.

Útok sa začína zdanlivo neškodne

Zložitá útočná reťaz sa začala odoslaním zdanlivo neškodnej prílohy iMessage. Táto príloha využívala zraniteľnosť vzdialeného spustenia kódu (CVE-2023-41990) v inštrukcii ADJUST TrueType pre písmo TrueType, ktorú používa iba spoločnosť Apple. Následne sa pri zneužití využilo programovanie orientované na návrat/skok a viaceré fázy v dotazovacom jazyku NSExpression/NSPredicate, ktoré vyvrcholili zneužitím na zvýšenie oprávnení v jazyku JavaScript.

Exploit JavaScriptu s približne 11 000 riadkami skrytého kódu využíval funkciu DollarVM na manipuláciu s pamäťou JavaScriptCore a vykonávanie natívnych funkcií API. Podporoval staré aj nové iPhony, pričom v prípade najnovších modelov obsahoval obídenie kódu PAC (Pointer Authentication Code).

Využitím zraniteľnosti pretečenia celého čísla (CVE-2023-32434) v mapovaní pamäte syscallov XNU získali útočníci prístup na čítanie/zápis do celej fyzickej pamäte zariadenia na úrovni používateľa. Na obídenie vrstvy ochrany stránok (Page Protection Layer – PPL), zraniteľnosti zmiernenej ako CVE-2023-38606, použili hardvérové registre MMIO (Memory-Maped I/O).

Útočníci získali kontrolu nad zariadením

Po využití týchto zraniteľností exploit JavaScriptu poskytol útočníkom kontrolu nad zariadením, čo im umožnilo vykonávať rôzne akcie vrátane spúšťania spywaru. Pozoruhodné je, že útočníci sa rozhodli spustiť proces IMAgent, injektovať payload čistiaci artefakty zneužitia a spustiť neviditeľný proces Safari presmerovaný na webovú stránku s ďalšou fázou.

Ďalšie fázy zahŕňali skript webovej stránky overujúci obeť, po ktorom nasledovalo nasadenie exploitu Safari (CVE-2023-32435) vykonávajúceho shellkód. Tento shellkód, vykonávajúci ďalší exploit jadra, dosiahol oprávnenia root, čo umožnilo spustenie post-exploitačných utilít a načítanie spywaru do zariadenia.

Výskumníci zdôraznili svoj záväzok publikovať v roku 2024 ďalšie články, v ktorých sa hlbšie venujú jednotlivým zraniteľnostiam a ich zneužitiu. Napriek ich rozsiahlemu reverznému inžinierstvu zostáva v súvislosti s CVE-2023-38606 záhada, čo výskumníkov podnietilo k tomu, aby sa snažili o spoluprácu v rámci komunity zaoberajúcej sa bezpečnosťou systému iOS. V závere zdôraznili nedostatočnosť spoliehania sa na „bezpečnosť prostredníctvom utajenia“ a tvrdili, že skutočne bezpečné systémy musia uprednostňovať transparentnosť pred utajením.