资安业者卡巴斯基(Kaspersky)在今年6月揭露了一个以iOS装置为目标的攻击行动Operation Triangulation,当时仅说骇客可借由传送一个带有附件的iMessage讯息予受害者,就能触发远端程式攻击漏洞,并未公布漏洞细节,但本周卡巴斯基公开了Operation Triangulation所使用的4个零时差漏洞,还说这是他们自苹果、微软、Adobe及Google等产品中所发现的逾30个零时差漏洞中,所见过最复杂的攻击链,其中的CVE-2023-38606到底是如何被滥用的,迄今仍是个谜团。
Operation Triangulation利用了4个零时差漏洞,分别是位于FontParser中的远端程式攻击漏洞CVE-2023-41990,核心中的整数溢位漏洞CVE-2023-32434,核心中的可用来绕过页面保护层的CVE-2023-38606漏洞,以及存在于WebKit中可造成任意程式执行的记忆体毁损漏洞CVE-2023-32435。
值得注意的是,卡巴斯基发现Operation Triangulation最古老的感染痕迹发生在2019年,所适用的最新iOS版本为 iOS 16.2,而苹果一直到今年6月才修补它们,意谓著骇客早已偷偷渗透iMessage超过4年。
分析显示,骇客先是借由传送恶意的iMessage附件来利用CVE-2023-41990漏洞,以执行一个以JavaScript撰写的权限扩张攻击程式,接著再利用CVE-2023-32434 漏洞取得记忆体的读写权限,再以CVE-2023-38606漏洞绕过页面保护层(Page Protection Layer),在成功攻击上述3个漏洞之后,骇客即可对装置执行任何操作,包括执行间谍软体,然而,骇客却选择了注入一个酬载,并清除所有攻击痕迹,再于隐形模式执行了一个Safari程序,以验证受害者,检查通过之后才继续利用下一个位于WebKit中的CVE-2023-32435漏洞以执行Shellcode,接著骇客即重复透过先前的漏洞来载入恶意程式。
这除了是卡巴斯基团队所见过的最复杂的攻击链之外,即使该团队Operation Triangulation已有数月之久,但仍无法解开有关CVE-2023-38606漏洞的谜团。
研究人员解释,最近的iPhone针对核心记忆体的敏感区域采用了基于硬体的安全保护,以让骇客就算能够读写核心记忆体,也无法控制整个装置,然而,CVE-2023-38606漏洞的存在是因为骇客利用了苹果系统单晶片上的另一个硬体功能来绕过此一基于硬体的安全保护。
具体而言,当骇客将资料、位址及资料杂凑写入该晶片上未被韧体使用的硬体暂存器时,就能在写入资料至特定的位址时,绕过基于硬体的记忆体保护。因为相关的硬体暂存器并未受到韧体的监管或保护。
研究人员的疑惑在于,此一硬体功能从何而来?如果苹果的韧体都未使用它,骇客又如何得知怎么操控它?最可能的解释是它可能是工厂或苹果工程师用来测试或除错的,或许先前曾不小心出现在韧体中,之后又被移除。
卡巴斯基认为,CVE-2023-38606漏洞彰显了一件事,这些基于硬体的先进保护机制,只要有硬体功能得以绕过,在面临尖端骇客时也是没用的。此外,硬体安全往往仰赖于隐蔽的安全,使得它的逆向工程比软体更难,但这是一种有缺陷的方式,因为所有的秘密迟早都会被揭露,借由隐蔽所实现的安全永远不可能真正安全。