Das GReAT-Team von Kaspersky hat eine Schwachstelle in Apple System on a Chip (SoC) entdeckt, die bei den jüngsten Angriffen auf iPhones im Rahmen von Operation Triangulation eine entscheidende Rolle gespielt hat.
Das Global Research and Analysis Team (GReAT) von Kaspersky hat ein bisher unbekanntes Hardware-Feature in Apple iPhones identifiziert [1], das ausschlaggebend für die sogenannte ‚Operation Triangulation‘ [2] war. Das Kaspersky-Team präsentierte die Entdeckung heute auf dem 37. Chaos Communication Congress in Hamburg.
Das GReAT-Team von Kaspersky hat eine Schwachstelle in Apple System on a Chip (SoC) entdeckt, die bei den jüngsten Angriffen auf iPhones im Rahmen von Operation Triangulation eine entscheidende Rolle gespielt hat. Sie ermöglichte es den Angreifern, den hardwarebasierten Speicherschutz auf iPhones mit iOS-Versionen bis iOS 16.6 zu umgehen.
Bei der Schwachstelle CVE-2023-38606 [3] handelt es sich um ein Hardware-Feature, das möglicherweise auf dem Prinzip ,Security through Obscurity‘ basiert und möglicherweise zum Testen oder Debuggen gedacht war. Nach dem initialen Angriff über 0-Klick-iMessage und der darauffolgenden Rechteausweitung nutzten die Angreifer dieses Hardware-Feature, um hardwarebasierte Sicherheitsmaßnahmen zu umgehen und den Inhalt geschützter Speicherbereiche zu manipulieren. Dadurch erlangten die Angreifer die volle Kontrolle über das Gerät.
Dieses Feature war – sofern Kaspersky bekannt – nicht öffentlich dokumentiert, was die Erkennung und Analyse mit herkömmlichen Sicherheitsmethoden erschwerte. Die Experten im GReAT führten umfangreiches Reverse Engineering durch und analysierten die Hardware- und Softwareintegration des iPhones sorgfältig. Dabei konzentrierten sie sich insbesondere auf die Memory-Mapped-I/O (MMIO)-Adressen, die für die effiziente Kommunikation zwischen der CPU und den Peripheriegeräten im System sorgen. Dabei wurden keine unbekannten MMIO-Adressen, die von den Angreifern zur Umgehung des hardwarebasierten Kernel-Speicherschutzes verwendet wurden, in den Device-Tree-Dateien identifiziert, was eine Herausforderung darstellte. Das Team musste auch die komplizierten Funktionsweisen des SoC und seine Interaktion mit dem iOS-Betriebssystem, darunter auch Speicherverwaltung und Schutzmechanismen, entschlüsseln. Dieser Prozess umfasste eine gründliche Untersuchung verschiedener Device-Tree-Dateien, Quellcodes, Kernel-Images und Firmware, um Hinweise auf diese MMIO-Adressen zu finden.
„Hierbei handelt es sich um keine gewöhnliche Schwachstelle“, so Boris Larin, Principal Security Researcher im GReAT bei Kaspersky. „Aufgrund der geschlossenen Natur des iOS-Ökosystems war die Erkennung dieser herausfordernd und zeitaufwändig; sie erforderte ein umfassendes Verständnis sowohl der Hardware- als auch der Softwarearchitektur. Die Entdeckung der Schwachstelle zeigt, dass selbst fortschrittliche hardwarebasierte Schutzmaßnahmen angesichts eines raffinierten Angreifers wirkungslos sein können – insbesondere, wenn es Hardware-Features gibt, die es ermöglichen, diese Schutzmaßnahmen zu umgehen.“
Bei Operation Triangulation handelt es sich um eine Advanced-Persistent-Threat (APT)-Kampagne, die auf iOS-Geräte abzielt und Anfang des Sommers von Kaspersky entdeckt wurde. Hierfür wurden Zero-Click-Exploits genutzt, die über iMessage verbreitet wurden und es Angreifern ermöglichten, die Kontrolle über das Zielgerät zu erlangen und auf Nutzerdaten zuzugreifen. Insgesamt identifizierten Kaspersky-Experten damals vier Zero-Day-Schwachstellen – CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 und CVE-2023-41990 – für die Appel Sicherheitsupdates zur Verfügung stellte. Diese Schwachstellen waren in einer Vielzahl an Apple-Produkten enthalten, darunter iPhones, iPods, iPads, macOS-Geräte, Apple TV und Apple Watch.
Kaspersky hat Apple über die Ausnutzung des Hardware-Features informiert; Apple hat die Schwachstelle bereits behoben.
Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen
- Betriebssystem, Anwendungen und Antivirensoftware regelmäßig aktualisieren, um alle bekannten Schwachstellen zu beheben.
- Das SOC-Team Zugriff sollte stets Zugriff auf aktuelle Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal [4] ist ein zentraler Zugangspunkt für die Threat Intelligence des Unternehmens und stellt Daten und Erkenntnisse zu Angriffen bereit.
- Das Cybersicherheitsteam sollte mit Experten-Trainings [5] im Umgang mit aktuellen, zielgerichteten Bedrohungen geschult werden.
- EDR-Lösungen wie Kaspersky Endpoint Detection and Response [6] implementieren, die Vorfälle frühzeitig erkennen und beheben können.
- Warnungen und Bedrohungen mit den Diensten wie „Incident Response“ und „Digital Forensics“ [7] von Kaspersky weiter untersuchen, um tiefere Erkenntnisse zu gewinnen.
Weitere Informationen zur gefundenen Schwachstelle in Apple-Hardware sind verfügbar unter https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
[1] https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-38606
[4] https://www.kaspersky.de/enterprise-security/threat-intelligence
[5] https://xtraining.kaspersky.com
[6] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[7] https://www.kaspersky.de/enterprise-security/incident-response
Nützliche Links:
- Kaspersky-Analyse zur gefundenen Schwachstelle: https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
- Informationen zu Operation Triangulation: https://securelist.com/trng-2023/
- Kaspersky Incident Response: https://www.kaspersky.de/enterprise-security/incident-response