Auf dem 37. Chaos Communication Congress (37C3), der vom 27. bis 30.12.2023 in Hamburg abgehalten wurde, haben die Experten unseres Kaspersky Global Research and Analysis Team (GReAT) Boris Larin, Leonid Bezvershenko und Grigoriy Kucherin einen Vortrag mit dem Namen „Operation Triangulation: Das passiert, wenn Sie die iPhones von Forschern angreifen“ gehalten. Darin beschrieben sie die Angriffskette detailliert und sprachen über alle hier involvierten Schwachstellen. Unter anderem präsentierten sie zum ersten Mal Details bezüglich der Ausnutzung der Hardware-Schwachstelle CVE-2023-38606.
Detaillierte Analyse der Operation Triangulation, des bisher raffiniertesten Angriffs, den unsere Experten je gesehen haben, vorgestellt auf der #37C3-Konferenz.
Tweet
Auf alle Einzelheiten des Berichts werden wir in diesem Beitrag nicht eingehen – alle technischen Details finden Sie auf unserem Securelist-Blog oder in der Aufzeichnung des Vortrags auf der offiziellen Website der Konferenz. Im Anschluss möchten wir aber dennoch kurz die wichtigsten Punkte erläutern:
- Wie wir bereits zu Beginn dieses Sommers geschrieben haben, wurde der Angriff mit einer unsichtbaren iMessage ausgelöst, die einen schädlichen Anhang enthielt, der ohne das Wissen des Nutzers verarbeitet wurde. Dieser Angriff erforderte keinerlei Aktionen seitens des Nutzers.
- Unsere Experten konnten einen Angriff durch die Überwachung eines unternehmenseigenen WLAN-Netzwerks mit unserem SIEM-System Kaspersky Unified Monitoring and Analysis Platform (KUMA) aufdecken.
- Der Angriff setzte 4 Zero-Day-Schwachstellen ein, die alle iOS-Geräte bis zur Version 16.2 betrafen: CVE-2023-32434, CVE-2023-32435, CVE-2023-41990 und die bereits erwähnte CVE-2023-38606.
- Der verschleierte Triangulation-Exploit kann sowohl auf neueren als auch auf relativ alten iPhone-Modellen funktionieren. Bei Angriffen auf neuere iPhones konnte er den Pointer Authentication Code (PAC) umgehen.
- Die bei diesem Exploit ausgenutzte Schwachstelle CVE-2023-32434, erlaubte den Angreifern Zugriff auf den gesamten physischen Gerätespeicher auf Nutzerebene – sowohl zum Lesen als auch zum Schreiben.
- Dank der Ausnutzung aller vier Schwachstellen hätte die Malware die volle Kontrolle über das Gerät übernehmen und jede beliebige Malware ausführen können; stattdessen startete sie jedoch den IMAgent-Prozess und verwendete ihn, um alle Spuren des Angriffs vom Gerät zu entfernen. Außerdem startete sie den Safari-Prozess im Hintergrund und leitete ihn auf die Webseite des Angreifers mit einem Exploit für Safari um.
- Dieser Safari-Exploit erhielt Root-Rechte und leitete weitere Angriffsphasen ein (über die wir bereits in unseren früheren Veröffentlichungen berichtet haben).
- Die Schwachstelle CVE-2023-38606 erlaubte das Umgehen des integrierten Speicherschutzmechanismus unter Verwendung undokumentierter und ungenutzter Prozessregister. Unseren Experten zufolge wurde diese Hardwarefunktion vermutlich zu Debugging- oder Testzwecken geschaffen und blieb dann aus irgendeinem Grund aktiviert.
Ein Rätsel bleibt jedoch, woher die Angreifer wussten, wie sie diese undokumentierte Funktion nutzen konnten und woher sie Informationen darüber hatten.