概述
Operation Triangulation攻击事件
卡巴斯基在首次披露Operation Triangulation的报告中提到,攻击者通过发送一封附带了漏洞附件的iMessage信息到目标设备上,在没有任何用户交互的情况下,该条消息会触发代码执行漏洞,之后漏洞执行的代码会从远程服务器上下载后续阶段的payload,其中包含了用于提权的额外漏洞利用,并最终部署一个功能齐全的远控平台,最后会删除最初触发漏洞利用的漏洞消息。
奇安信威胁情报中心第一时间跟进了该事件,依赖奇安信内部相关数据,确认Operation Triangulation行动同样波及了国内多个重点单位的重要人员。
截至12月28日,卡巴斯基已经发布6篇关于Operation Triangulation攻击行动的报告[2]。
发布时间 | 报告内容 |
2023-06-01 | 首次披露Operation Triangulation攻击行动 |
2023-06-02 | 如何检测设备是否遭到Operation Triangulation攻击 |
2023-06-21 | Operation Triangulation攻击行动植入的远控平台TriangleDB分析 |
2023-10-23 | Operation Triangulation攻击链的验证模块,TriangleDB远控以及下发模块的分析 |
2023-10-26 | 研究人员追溯复原Operation Triangulation攻击链的过程 |
2023-12-27 | 披露Operation Triangulation完整攻击链,并分享硬件漏洞CVE-2023-38606的相关信息 |
在12月27日的最新报告中,研究者提到明年将会发布报告说明攻击链中0-day漏洞的详细信息,以及它们如何被攻击者利用。
同样在12月27日,卡巴斯基安全研究人员在第37届CCC(37C3)安全会议上关于追踪Operation Triangulation攻击行动的演讲视频[3]发布,视频囊括了上述已发布报告的内容,并加入了对利用漏洞的简要说明,以及恶意代码的更多细节。
攻击链
攻击第一阶段通过iMessage发送带字体漏洞CVE-2023-41990的pdf文件,漏洞触发配合CVE-2023-32434/CVE-2023-38606实现完整的代码执行权限,但是这一步之后攻击者并没有直接下发木马文件,而是清除了设备中的所有漏洞利用痕迹,转入第二阶段的Safari利用流程,这中间会有一个受害者鉴定的操作,完成之后通过Safari 0day漏洞CVE-2023-32435配合CVE-2023-32434/CVE-2023-38606再次实现完整的代码执行权限,并投递恶意软件。
漏洞编号 | 说明 |
CVE-2023-41990 | 字体漏洞,涉及未公开的Apple独有的ADJUST TrueType字体指令,该指令从上世纪90年代就已存在 |
CVE-2023-32434 | XNU内存映射syscall的整数溢出漏洞,在user等级可获取整个物理内存的读写权限 |
CVE-2023-38606 | 利用硬件的内存映射IO(MMIO)寄存器,绕过Page Protection Layer (PPL) |
CVE-2023-32435 | Safari浏览器漏洞,执行shellcode |
硬件漏洞CVE-2023-38606
该漏洞通过将数据、目标地址和数据哈希写入未知的硬件MMIO寄存器,从而实现将数据写入特定的物理地址。值得注意的是,被利用的MMIO寄存器未被设备的固件使用。
攻击者利用的硬件地址
攻击者利用的硬件地址有三部分:0x206040000, 0x206140000和0x206150000。其中0x206040000经过研究人员的对比和验证,确认与GPU协处理器相关,而0x206140000和0x206150000目前仍无法对应到具体的硬件设备。攻击者使用这些硬件地址的方式如下。
地址 | 描述 |
0x206040000 | 用于开启和关闭漏洞利用时的硬件特性 |
0x206140008, 0x206140108 | 用于开启和关闭漏洞利用时的硬件特性 |
0x206150020 | 仅在Apple A15/A16 Bionic SoC中使用,并在漏洞初始化阶段设置为1,在漏洞利用结束阶段恢复原值 |
0x206150040 | 用于存储标志和目标物理地址的低地址部分 |
0x206150048 | 用于存储写入数据和目标物理地址的高地址部分 |
通过操纵上述硬件地址,硬件可执行DMA(direct memory access,直接内存访问)操作,将数据写入指定区域。攻击者利用这个漏洞完成硬件安全特性Page Protection Layer (PPL)的绕过。
攻击者如何发现该硬件漏洞
攻击者利用的硬件MMIO寄存器既没有任何公开文档说明,也没有被任何固件使用,这使得攻击者如何发现该攻击方法成为了关于CVE-2023-38606漏洞的另一个谜团。
可能和PlayStation设备一样,早期版本使用了这些硬件寄存器,而在后续版本中被停用,了解早期版本的人自然会知道这些“隐藏”的硬件特性。不过一个问题是,GPU协处理器在近期才出现在Apple的SoC上。研究人员根据自己的经验猜测,可能GPU协处理器的早期零售版本固件使用了这些特性。
也有可能是特定固件或者XNU源码在之前的版本曾错误地公开过相关硬件特性,然后又将其删除了。
Apple对该漏洞的处理
研究人员原本试图通过iOS 16.6的安全更新来确定该漏洞未知硬件地址对应的设备,不过Apple采用的修补方案是将漏洞利用涉及的MMIO内存区域0x206000000–0x206050000和0x206110000–0x206400000标记为”DENY”(表明拒绝访问)。
参考链接
[2].https://securelist.com/trng-2023/
[3].https://media.ccc.de/v/37c3-11859-operation_triangulation_what_you_get_when_attack_iphones_of_researchers
点击阅读原文至ALPHA 6.0
即刻助力威胁研判