Operação Triangulação: uma palestra na 37C3

Apresentação detalhada da Operação Triangulação no evento 37C3: o ataque mais sofisticado que nossos especialistas já analisaram.

No 37º Chaos Communication Congress (37C3), realizado no final de dezembro, em Hamburgo, nossos especialistas da Equipe Global de Pesquisa e Análise da Kaspersky (GReAT), Boris Larin, Leonid Bezvershenko e Grigoriy Kucherin ministraram uma palestra chamada “Operação Triangulação: o que você consegue quando ataca iPhones de pesquisadores”. Eles descreveram detalhadamente a cadeia do ataque e falaram sobre todas as vulnerabilidades associadas. Entre outras coisas, eles apresentaram pela primeira vez detalhes de exploração da brecha de segurança de hardware CVE-2023-38606.

Não vamos repetir todos os detalhes deste relatório – você pode encontrar detalhes técnicos em uma publicação no blog do Securelist ou pode ouvir a gravação da palestra no site oficial da conferência. Aqui descreveremos brevemente os pontos principais.

  • Como já escrevemos meses atrás, o ataque começou com um iMessage invisível, que continha um anexo malicioso que foi processado sem o conhecimento do usuário. Este ataque não exigiu nenhuma ação do dono do dispositivo.
  • Nossos especialistas conseguiram detectar o ataque monitorando uma rede Wi-Fi corporativa usando nosso próprio sistema SIEM, Kaspersky Unified Monitoring and Analysis Platform (KUMA).
  • O ataque empregou quatro vulnerabilidades zero-day que afetaram todos os dispositivos iOS até a versão 16.2: CVE-2023-32434, CVE-2023-32435, CVE-2023-41990 e o já mencionado CVE-2023-38606.
  • A exploração ofuscada da Triangulação poderia funcionar tanto em versões mais recentes do iPhone quanto em modelos bastante antigos. E se atacar iPhones recém-lançado, poderá ignorar o Pointer Authentication Code (PAC, na sigla em inglês).
  • A vulnerabilidade CVE-2023-32434 usada por esta exploração permitiu que invasores acessassem toda a memória física do dispositivo a nível do usuário, tanto para leitura quanto para armazenamento.
  • Graças à exploração de todas as quatro vulnerabilidades, o malware poderia obter controle total sobre o dispositivo e executar qualquer ação complementar necessária, por exemplo, mas em vez disso iniciou o processo IMAgent e utilizou-o para remover todos os vestígios do ataque do dispositivo. Também iniciou o processo do Safari em segundo plano e o redirecionou para a página da web do invasor com exploração do Safari.
  • Esta invasão pelo Safari obteve direitos de root e lançou novas etapas de ataques (sobre os quais já falamos em nossas publicações anteriores).
  • A vulnerabilidade CVE-2023-38606 permitiu contornar o mecanismo de proteção de memória integrado usando registros não documentados e não utilizados no processador do firmware. De acordo com nossos especialistas, esta função de hardware provavelmente foi criada para fins de depuração ou teste e, por algum motivo, permaneceu habilitada.

O único mistério restante é como exatamente os invasores souberam usar essa função não documentada e onde encontraram informações sobre ela.

Dicas