Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), Apple iPhone'larda daha önce bilinmeyen ve Operation Triangulation kampanyası için çok önemli olan bir donanım özelliğini ortaya çıkardı. Ekip bu keşfi Hamburg'da düzenlenen 37. Kaos İletişim Kongresi'nde sundu.
Kaspersky GReAT ekibi, Apple System on a chip veya SoC'de son iPhone saldırılarında kritik rol oynayan ve Operation Triangulation olarak bilinen, saldırganların iOS 16.6'ya kadar iOS sürümlerini çalıştıran iPhone'larda donanım tabanlı bellek korumasını atlamasına olanak tanıyan bir güvenlik açığı keşfetti. Keşfedilen güvenlik açığı, muhtemelen "belirsizlik yoluyla güvenlik" ilkesine dayanan bir donanım özelliği ve test veya hata ayıklama için tasarlanmış olabilir. İlk 0 tıklamalı iMessage saldırısının ve ardından ayrıcalık yükseltmenin ardından, saldırganlar donanım tabanlı güvenlik korumalarını atlamak ve korumalı bellek bölgelerinin içeriğini değiştirmek için bu donanım özelliğinden yararlandılar. Bu adım, cihaz üzerinde tam kontrol elde etme noktasında çok önemliydi. Apple, CVE-2023-38606 olarak tanımlanan bu sorunu ele aldı.
Kaspersky'nin bildiği kadarıyla, bu özellik kamuya açık bir şekilde belgelenmemişti ve geleneksel güvenlik yöntemleri kullanılarak tespiti ve analizi önemli bir zorluk teşkil ediyordu. GReAT araştırmacıları, iPhone'un donanım ve yazılım entegrasyonunu titizlikle analiz ederek kapsamlı bir tersine mühendislik çalışması yürüttü ve özellikle CPU ile sistemdeki çevresel cihazlar arasında verimli iletişimi kolaylaştırmak için kritik öneme sahip olan Bellek Eşlemeli I/O veya MMIO adreslerine odaklandı. Saldırganlar tarafından donanım tabanlı çekirdek bellek korumasını atlamak için kullanılan bilinmeyen MMIO adresleri, herhangi bir cihaz aralığında tanımlanmamıştı ve bu da önemli bir zorluk teşkil ediyordu. Ekibin ayrıca SoC'nin karmaşık işleyişini ve özellikle bellek yönetimi ve koruma mekanizmalarıyla ilgili olarak iOS işletim sistemiyle etkileşimini deşifre etmesi gerekiyordu. Bu süreç, bu MMIO adreslerine herhangi bir referans bulma arayışında çeşitli cihaz dosyalarının, kaynak kodlarının, çekirdek görüntülerinin ve ürün yazılımının kapsamlı bir incelemesini içeriyordu.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin, şu bilgiyi paylaştı: "Bu sıradan bir güvenlik açığı değil. iOS ekosisteminin kapalı yapısı nedeniyle, keşif süreci hem zorlu hem de zaman alıcıydı. Ayrıca hem donanım hem yazılım mimarilerinin kapsamlı bir şekilde anlaşılmasını gerektiriyordu. Bu keşfin bize bir kez daha öğrettiği şey, gelişmiş donanım tabanlı korumaların bile sofistike bir saldırgan karşısında etkisiz hale getirilebileceğiydi. Özellikle de bu korumaları atlamaya izin veren donanım özellikleri söz konusu olduğunda."
"Operation Triangulation", bu yazın başlarında Kaspersky tarafından ortaya çıkarılan, iOS cihazlarını hedef alan bir Gelişmiş Kalıcı Tehdit (APT) kampanyasıydı. Bu sofistike kampanya, iMessage aracılığıyla dağıtılan sıfır tıklama açıklarını kullanarak saldırganların hedeflenen cihaz üzerinde tam kontrol sahibi olmasını ve kullanıcı verilerine erişimini sağlıyor. Apple, Kaspersky araştırmacıları tarafından tespit edilen dört sıfır gün açığını gidermek için güvenlik güncellemeleri yayınlayarak yanıt verdi: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 ve CVE-2023-41990. Bu güvenlik açıkları iPhone'lar, iPod'lar, iPad'ler, macOS aygıtları, Apple TV ve Apple Watch dahil olmak üzere geniş bir Apple ürün yelpazesini etkiliyor. Kaspersky ayrıca Apple'ı donanım özelliğinin istismarı hakkında bilgilendirerek şirket tarafından bu konunun ele alınmasını sağladı.
Operation Triangulation ve analizin arkasındaki teknik detaylar hakkında daha fazla bilgi edinmek için Securelist.com'daki raporu okuyun.
Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:
Bilinen güvenlik açıklarını yamamak için işletim sisteminizi, uygulamalarınızı ve antivirüs yazılımınızı düzenli olarak güncelleyin.
SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlar.
GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlerle mücadele edecek şekilde geliştirin.
Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın.
Daha derin içgörüler elde etmek için Kaspersky Olay Müdahalesi ve Dijital Adli Tıp hizmetleri ile güvenlik kontrolleri tarafından tanımlanan uyarıları ve tehditleri araştırın.
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.