Milano, 27 dicembre 2023
Il team GReAT di Kaspersky ha scoperto una vulnerabilità nel System on a chip, o SoC, di Apple che ha svolto un ruolo fondamentale nei recenti attacchi agli iPhone, noti come Operation Triangulation, che consente agli aggressori di bypassare la protezione della memoria a livello hardware sugli iPhone che utilizzano versioni di iOS fino a iOS 16.6.
La vulnerabilità scoperta è una funzionalità hardware, probabilmente basata sul principio della “security through oscurity”, e potrebbe essere stata destinata al test o al debug. Dopo l’attacco iniziale a iMessage 0-click e la successiva escalation dei privilegi, gli aggressori hanno sfruttato questa funzione hardware per aggirare le protezioni di sicurezza basate sull’hardware e manipolare il contenuto delle aree di memoria protette. Questo passaggio è stato fondamentale per ottenere il pieno controllo del dispositivo. Apple ha risolto il problema, identificato come CVE-2023-38606.
Secondo Kaspersky, questa caratteristica non è stata documentata pubblicamente, rappresentando una sfida significativa per il suo rilevamento e l’analisi con i metodi di sicurezza convenzionali. I ricercatori del GReAT si sono impegnati in un’approfondita attività di reverse engineering, analizzando meticolosamente l’integrazione hardware e software dell’iPhone, concentrandosi in particolare sugli indirizzi Memory-Mapped I/O, o MMIO, che sono fondamentali per facilitare una comunicazione efficiente tra la CPU e i dispositivi periferici del sistema. Gli indirizzi MMIO sconosciuti, utilizzati dagli aggressori per aggirare la protezione della memoria del kernel basata sull’hardware, non sono stati identificati in nessun intervallo all’interno della struttura dei dispositivi, rappresentando una sfida significativa. Il team ha dovuto anche decifrare l’intricato funzionamento del SoC e la sua interazione con il sistema operativo iOS, soprattutto per quanto riguarda la gestione della memoria e i meccanismi di protezione. Questo processo ha comportato un esame approfondito di vari file dei dispositivi, del codice sorgente, delle immagini del kernel e del firmware, nel tentativo di trovare qualsiasi riferimento a questi indirizzi MMIO.
“Non si tratta di una vulnerabilità ordinaria e, a causa della natura chiusa dell’ecosistema iOS, il processo di scoperta è stato impegnativo e ha richiesto una comprensione completa delle architetture hardware e software. Questa scoperta ci insegna ancora una volta che anche le protezioni avanzate basate sull’hardware possono essere rese inefficaci di fronte a un aggressore sofisticato, in particolare quando esistono caratteristiche hardware che consentono di bypassare queste protezioni”, ha commentato Boris Larin, Principal Security Researcher del GReAT di Kaspersky.
“Operation Triangulation” è una campagna di Advanced Persistent Threat (APT) che colpisce i dispositivi iOS scoperta da Kaspersky all’inizio dell’estate. Questa sofisticata campagna utilizza exploit 0-click distribuiti tramite iMessage, consentendo agli aggressori di ottenere il controllo completo del dispositivo preso di mira e di accedere ai dati dell’utente. Apple ha rilasciato aggiornamenti di sicurezza per risolvere quattro vulnerabilità zero-day identificate dai ricercatori di Kaspersky: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 e CVE-2023-41990. Queste vulnerabilità hanno un impatto su un’ampia gamma di prodotti Apple, tra cui iPhone, iPod, iPad, dispositivi MacOS, Apple TV e Apple Watch. Kaspersky ha inoltre informato Apple dello sfruttamento della dotazione hardware, contribuendo alla risoluzione del problema da parte dell’azienda.
Per ulteriori informazioni sull’Operation Triangulation e sui dettagli tecnici dell’analisi, è possibile consultare il report su Securelist.com.
Per proteggersi da queste minacce, i ricercatori di Kaspersky consigliano di implementare le seguenti misure:
· Aggiornare regolarmente il sistema operativo, le applicazioni e il software antivirus per eliminare le vulnerabilità note.
· Fornire al proprio team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Il Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
· Mantenere il proprio team di cybersicurezza sempre aggiornato per affrontare le ultime minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti del GReAT.
· Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
· Analizzare gli avvisi e le minacce identificate dai controlli di sicurezza con i servizi Incident Response e Digital Forensics di Kaspersky per ottenere informazioni più approfondite.