Les attaques de logiciels espions par triangulation d’opération ciblant les appareils iPhone depuis 2019 ont tiré parti des fonctionnalités non documentées des puces Apple pour contourner les protections de sécurité matérielles.
Cette découverte provient des analystes de Kaspersky qui ont procédé à une ingénierie inverse de la chaîne d’attaques complexe au cours de l’année écoulée, essayant de découvrir tous les détails qui sous-tendent la campagne qu’ils ont initialement découverte en juin 2023.
La découverte et l’utilisation de fonctionnalités matérielles obscures probablement réservées au débogage et aux tests en usine pour lancer des attaques de logiciels espions contre les utilisateurs d’iPhone suggèrent qu’un acteur malveillant sophistiqué a mené la campagne.
De plus, cela constitue un excellent exemple de la raison pour laquelle le recours à la sécurité par l’obscurité et le secret de la conception du matériel ou de la mise en œuvre des tests matériels est une fausse prémisse.
Opération Triangulation
L’opération Triangulation est une campagne de logiciels espions ciblant les appareils iPhone d’Apple en utilisant une série de quatre vulnérabilités zero-day. Ces vulnérabilités sont enchaînées pour créer un exploit sans clic qui permet aux attaquants d’élever les privilèges et d’exécuter du code à distance.
Les quatre failles qui constituent la chaîne d’exploitation hautement sophistiquée et qui fonctionnaient sur toutes les versions d’iOS jusqu’à iOS 16.2 sont:
- CVE-2023-41990: Une vulnérabilité dans l’instruction ADJUST TrueType font permettant l’exécution de code à distance via une pièce jointe iMessage malveillante.
- CVE-2023-32434: Un problème de dépassement d’entier dans les appels système de mappage de mémoire de XNU, accordant aux attaquants un accès étendu en lecture/écriture à la mémoire physique de l’appareil.
- CVE-2023-32435: Utilisé dans l’exploit Safari pour exécuter le shellcode dans le cadre de l’attaque en plusieurs étapes.
- CVE-2023-38606: Une vulnérabilité utilisant des registres MMIO matériels pour contourner la couche de protection des pages (PPL), remplaçant les protections de sécurité matérielles.
Les attaques commencent par une pièce jointe iMessage malveillante envoyée à la cible, tandis que toute la chaîne est sans clic, ce qui signifie qu’elle ne nécessite aucune interaction de la part de l’utilisateur et ne génère aucun signe ou trace perceptible.
Kaspersky a découvert l’attaque au sein de son propre réseau et le service de renseignement russe (FSB) a immédiatement accusé Apple de fournir à la NSA une porte dérobée contre le personnel du gouvernement et de l’ambassade russes.
Jusqu’à présent, l’origine des attaques reste inconnue, et il n’y a eu aucune preuve de ces allégations.
Apple a corrigé les deux failles zero-day alors reconnues (CVE-2023-32434 et CVE-2023-32435) le 21 juin 2023, avec la sortie d’iOS/iPadOS 16.5.1 et iOS/iPadOS 15.7.7.
Attaques hautement sophistiquées
Parmi les failles ci-dessus, CVE-2023-38606, qui a été corrigée le 24 juillet 2023, avec la sortie d’iOS/iPad OS 16.6, est la plus intrigante pour les analystes de Kaspersky.
L’exploitation de la faille permet à un attaquant de contourner la protection matérielle des puces Apple qui empêchent les attaquants d’obtenir un contrôle total sur l’appareil lorsqu’ils obtiennent un accès en lecture et en écriture à la mémoire du noyau, ce qui a été réalisé en utilisant la faille distincte CVE-2023-32434.
Dans l’article technique approfondi, Kaspersky explique que CVE-2023-38606 cible des registres MMIO (E/S mappées en mémoire) inconnus dans les processeurs bioniques Apple A12-A16, probablement liés au coprocesseur GPU de la puce, qui ne sont pas répertoriés dans l’arbre de périphériques.
La triangulation des opérations utilise ces registres pour manipuler les fonctionnalités matérielles et contrôler l’accès direct à la mémoire pendant l’attaque.
« Si nous essayons de décrire cette fonctionnalité et comment les attaquants en ont profité, tout se résume à ceci: ils sont capables d’écrire des données à une certaine adresse physique tout en contournant la protection matérielle de la mémoire en écrivant les données, l’adresse de destination et le hachage des données dans des registres matériels inconnus de la puce inutilisés par le micrologiciel », explique le rapport de Kaspersky.
Kaspersky émet l’hypothèse que l’inclusion de cette fonctionnalité matérielle non documentée sur la version grand public finie de l’iPhone est soit une erreur, soit a été laissée pour aider les ingénieurs d’Apple à déboguer et tester.
Apple a corrigé la faille en mettant à jour l’arborescence des périphériques pour restreindre le mappage d’adresses physiques.
Cependant, la manière dont les attaquants ont acquis la connaissance d’un mécanisme exploitable aussi obscur reste inconnue.