跳到主体内容

卡巴斯基披露在“三角行动 ”感染案例中至关重要的iPhone硬件功能

2023年12月27日

卡巴斯基全球研究与分析团队(GReAT)揭示了苹果iPhone手机中一种之前未知的硬件功能,该功能对“三角行动”感染非常关键。卡巴斯基全球研究与分析团队在汉堡举行的第37界混沌通讯大会上展示了这一发现。

卡巴斯基全球研究与分析团队(GReAT)在苹果系统的芯片(或SoC)上发现了一个漏洞,该漏洞在最近针对iPhone手机的攻击(即所谓的三角行动)中发挥了关键作用,允许攻击者绕过运行 iOS 16.6 及以下版本的 iPhone 上基于硬件的内存保护。

发现的漏洞是一种硬件功能,可能基于“通过隐藏实现安全”的原则,并且可能用于测试或调试。在最初的零点击iMessage 攻击和随后的权限提升之后,攻击者利用这一硬件功能绕过了基于硬件的安全保护,并操纵了受保护内存区域的内容。这一步对于完全控制设备至关重要。苹果公司已经解决了这个问题,并将该漏洞标识为CVE-2023-38606

据卡巴斯基所知,这一功能并未公开记录,这对使用传统安全方法进行检测和分析带来了重大挑战。全球研究与分析团队的研究人员进行了广泛的逆向工程,仔细分析了iPhone的硬件和软件集成,特别关注内存映射I/O(MMIO)地址,这对于促进CPU和系统中外围设备之间的高效通信至关重要。攻击者用于绕过基于硬件的内核内存保护的未知MMIO地址在任何设备树范围内均未被识别,这是一个重大挑战。该团队还必须破译 SoC 的复杂工作原理及其与 iOS 操作系统的交互,尤其是在内存管理和保护机制方面。此过程涉及对各种设备树文件、源代码、内核映像和固件的彻底检查,以查找对这些 MMIO 地址的任何引用。

“这不是普通的漏洞。由于 iOS 生态系统的封闭性,发现过程既具有挑战性又耗时,需要全面了解硬件和软件架构。这一发现再一次让我们了解到,即使是基于硬件的高级保护,在面对老练的攻击者时也会变得无效,特别是当存在允许绕过这些保护的硬件功能时,”卡巴斯基全球研究与分析团队(GReAT)首席安全研究员Boris Larin评论道。

“三角行动”是卡巴斯基在今年夏天早些时候发现的一起针对iOS设备的高级持续性威胁(APT)活动。这种复杂的活动采用通过iMessage分发的零点击漏洞,使攻击者能够完全控制目标设备并访问用户数据。作为回应,苹果公司发布了安全更新,以解决卡巴斯基研究人员发现的四个零日漏洞,分别为: CVE-2023-32434、CVE-2023-32435、CVE-2023-38606 和 CVE-2023-41990。这些漏洞影响广泛的 Apple 产品,包括 iPhone、iPod、iPad、macOS 设备、Apple TV 和 Apple Watch。卡巴斯基还向苹果公司通报了利用该硬件功能的情况,该公司随后采取了缓解措施。

要了解更多有关三角行动的详情以及相关分析背后的技术详情,请阅读Securelist.com上的报告。

为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:

·        定期更新操作系统、应用程序和反病毒软件,修补任何已知漏洞。

·        为您的SOC团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

·        使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。

·        为了实现端点级别的检测、响应和及时的事件修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应

·        使用卡巴斯基的事件响应和数字取证服务调查安全控制识别的警报和威胁,以获得更深入的见解。

卡巴斯基披露在“三角行动 ”感染案例中至关重要的iPhone硬件功能

卡巴斯基全球研究与分析团队(GReAT)揭示了苹果iPhone手机中一种之前未知的硬件功能,该功能对“三角行动”感染非常关键。卡巴斯基全球研究与分析团队在汉堡举行的第37界混沌通讯大会上展示了这一发现。
Kaspersky logo

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.cn.

相关文章 企业新闻