«Касперский зертханасы» Apple процессорларындамаңызды осалдықты анықтады

«Касперский зертханасының» сарапшылары Apple айфонда «Триангуляция операциясы» науқанын жүзеге асырудамаңызды келетін бұрын белгісіз аппараттық функциянытапты.

Бұл жерде CVE-2023-38606 осалдығы туралы айтылуда. Бұлчиптегі (кристалдағы жүйе) осалдық, оның көмегіменшабуылдаушылар 16.6 нұсқасына дейінгі iPhoneсмартфондарындағы ядро жадының қорғалғаноблыстарының аппараттық қорғанысты айналып өтеді. Сарапшылар Гамбургтегі Chaos Communication Congressаясында Триангуляция Операциясының жаңа мәліметтерінұсынды.

Анықталған осалдық бағдарламада пайдаланылмағанаппараттық функция болып табылады, ол тестілеуге немесежөндеуге арналған болуы мүмкін. Жәбірленуші тіркемедегіzero-click эксплойтымен жасырын iMessage хабарламасыналғаннан кейін және шабуылдаушылар осы эксплойтарқылы кодты орындау және артықшылықтарды арттырумүмкіндігіне ие болғаннан кейін, олар бұл аппараттықмүмкіндікті Apple чиптерінің аппараттық құралдарынайналып өту және қорғалған жад аймақтарының мазмұнынбасқару үшін пайдаланды. Бұл қадам құрылғыны толықбақылау үшін өте маңызды болды. Осы уақытқа қарай Appleбұл осалдықты жойды.

«Касперский зертханасына» белгілі болғандай, функция құжатталмаған. Ол бағдарламада қолданылмайды және оны дәстүрлі әдістермен анықтау және талдау қиын болды. Бұлфункция пайдаланылмағандықтан, сарапшыларзиянкестердің оны қалай қолданатынын кайдан болжағанынбілмейді. Реверс- инженериямен айналысқан «Касперский зертханасы» жаһандық қауіп-қатерді зерттеу және талдауорталығының сарапшылары iPhone-да аппараттық жәнебағдарламалық қамтамасыз ету бөліктерінің қалайбіріктірілетінін мұқият талдап өтті. Олар әсіресе жүйедеорталық процессор мен перифериялық құрылғыларарасындағы өзара әрекеттесуді қамтамасыз ету үшін қажеттіжадты (Мemory-mapped I/O)-мекенжайларды көрсететіненгізу / шығару әдісіне назар аударды. Ядро жадыныңаппараттық қорғанысын айналып өту үшіншабуылдаушылар қолданған белгісіз MMIO мекенжайларықұрылғы ағашының файлында анықталған диапазондардыңешқайсысында табылған жоқ. Бұл күрделі мәселе болды. Сонымен қатар, командаға жүйенің чиптегі жұмысыныңкүрделі сызбасын және оның iOS операциялық жүйесіменөзара әрекеттесуін, әсіресе жадыны басқару және қорғаныстетіктері тұрғысынан талдауға мәжбүр болды. Бұл процесс осы MMIO мекенжайларына кез келген сілтемелерді іздеуүшін әртүрлі құрылғы ағаш файлдарын, бастапқы кодтарды, ядро кескіндерін және бағдарламаларды мұқият зерттеудіқамтыды.

«Бұл қарапайым осалдық емес. IOS экожүйесінің жабықсипатына байланысты оны іздеу процесі күрделі және ұзақболды, ол аппараттық және бағдарламалық сәулетін жан-жақты түсінуді қажет етті. Бұл осалдық тіпті ең заманауиаппараттық құралдардың да қулы шабуылдаушыныңалдында дәрменсіз екенін дәлелдейді, ал бұл қорғанысқұралдарын айналып өтуге мүмкіндік беретін аппараттықфункциялар бар», — деп «Касперский зертханасының»киберқауіптерді жетекші зерттеушісі Борис Ларинәңгімелейді.

Триангуляция Операциясы-бұл iOS құрылғылары ұшырағанAPT науқаны. «Касперский зертханасы» бұл туралы 2023 жылдың жазында хабарлады. Шабуылдар үшін 16.2 нұсқасына дейінгі iOS құрылғыларының төрт нөлдік күносалдығын пайдаланып, iMessage-тегі хабарламалар арқылыэксплойттар таратудың күрделі әдісі қолданылды. Бұлжағдайда пайдаланушылардан ешқандай әрекет талапетілмеді. Нәтижесінде шабуылдаушылар құрылғы мен пайдаланушы деректерін толық бақылауға алды. «Касперский зертханасынан» хабарлама алғаннан кейінApple компаниясы GReAT зерттеушілері анықтаған төртнөлдік күндік осалдықтарды (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990) шешетінқауіпсіздік жаңартуларын ресми түрде шығарды. ОларiPhone, iPod, iPad, mac OS құрылғылары, Apple TV жәнеApple Watch сияқты көптеген Apple өнімдеріне әсер етті.

Триангуляция Операциясында қолданылған барлық осалдықтар мен эксплойттардың егжей-тегжейлі талдауы мына есепте келтірілген https://securelist.ru/operation-triangulation-the-last-hardware-mystery/108683/.

Мақсатты шабуылдардан қорғау үшін «Касперский зертханасының» мамандары компанияларға кеңес береді:

— осалдықтарды уақытында жою үшін операциялық жүйені, қосымшаларды және антивирустық БЖ үнемі жаңартып отырыңыз;

— қауіпсіздікті басқару орталығының (SOC) қызметкерлерінеқауіп туралы ақпаратқа (TI) қол жеткізуді қамтамасыз ету. Мысалы, Kaspersky Threat Intelligence порталында 20 жылдан астам уақыт ішінде «Касперский зертханасы»жинаған кибершабуылдар туралы деректерді алуға болады;

— қауіпсіздікке, оның ішінде жаңа нысаналы қатерлербойынша жауапты қызметкерлердің біліктілігін арттыру. Бұған «Касперский зертханасының» жетекші сарапшыларыәзірлеген онлайн-тренингтер көмектесе алады;

— Kaspersky Endpoint Detection and Response сияқты соңғықұрылғы деңгейіндегі оқиғаларды анықтау және оларғажауап беру үшін EDR шешімдерін пайдаланыңыз;

— терең талдау алу үшін Kaspersky Incident Response жәнеDigital Forensic қызметтері ұсынатын киберқауіптер туралыхабарламаларды зерделеу.