روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سی و هفتمین کنگره‌ی ارتباطات آشوب (37C3) هم‌اکنون در هامبورگ در حال برگزاری است، تیم GReAT کسپرسکی شامل بوریس لارین، لئونید بزورشنکو و گریگوریتی کوچرین پیرامون مبحث «حمله تریانگولاسیون: حمله به آیفون محققین چگونه اتفاق می‌افتد؟» سخنرانی کردند. آن‌ها زنجیره حمله مفصل شرح داده و در مورد همه آسیب‌پذیری‌های دخیل صحبت کردند. از میان موارد دیگر آن‌ها برای اولین بار جزئیات اکسپلویت آسیب‌پذیری سخت‌افزاری CVE-2023-38606 را ارائه دادند. شاید در این مقاله به همه مواردی که در موردشان سخنرانش شد نپردازیم اما مختصر نکات کلیدی را عنوان خواهیم کرد. با ما همراه باشید.

        همانطور که قبلاً در ابتدای تابستان نوشتیم، حمله با iMessage نامرئی شروع شد که حاوی یک لینک مخرب بود که بدون اطلاع کاربر پردازش شده بود. این حمله اصلاً نیازی به هیچ اقدامی از جانب کاربر نداشت.

•         کارشناسان ما با نظارت بر شبکه Wi-Fi شرکتی با استفاده از سیستم SIEM خود ما، پلت‌فرم نظارت و تجزیه و تحلیل یکپارچه Kaspersky (KUMA) توانستند این حمله را شناسایی کنند.
•         این حمله از چهار آسیب‌پذیری روز صفر استفاده کرد که همه دستگاه‌های iOS را تا نسخه 16.2 تحت تأثیر قرار داد: CVE-2023-32434، CVE-2023-32435، CVE-2023-41990 و CVE-2023-38606 فوق‌الذکر.
•         بهره برداری مبهم Triangulation می‌تواند هم بر روی نسخه‌های مدرن آیفون و هم در مدل‌های نسبتاً قدیمی کار کند. و در صورت حمله به آیفون‌های جدیدتر، می‌تواند کد تأیید هویت اشاره گر PAC)  ) را دور بزند.
•         آسیب‌پذیری CVE-2023-32434 که توسط این اکسپلویت استفاده می‌شود، به مهاجمان امکان دسترسی به کل حافظه فیزیکی دستگاه را در سطح کاربر، هم برای خواندن و هم برای نوشتن، می‌داد.
•         به لطف اکسپلویت هر چهار آسیب‌پذیری، بدافزار می‌توانست کنترل کامل دستگاه را به دست آورد و هر بدافزار مورد نیاز را اجرا کند، اما در عوض فرآیند IMAgent را راه‌اندازی و از آن برای حذف تمام آثار حمله از دستگاه استفاده کرد. همچنین فرآیند سافاری را در پس‌زمینه راه‌اندازی و آن را با بهره‌برداری برای سافاری به صفحه وب مهاجم هدایت کرد.
•         این اکسپلویت سافاری حقوق و مزایای اصلی را گرفت و مراحل بعدی حملات را آغاز کرد (که قبلاً در انتشارات قبلی خود در مورد آنها صحبت کردیم).
•         آسیب‌پذیری CVE-2023-38606 امکان دور زدن مکانیسم محافظت از حافظه داخلی را با استفاده از اسناد غیرمستند و استفاده نشده در رجیسترهای پردازنده میان‌افزار فراهم می‌کند. به گفته کارشناسان ما، این عملکرد سخت افزاری احتمالاً برای اهداف اشکال‌زدایی یا آزمایش ایجاد شده است و سپس به دلایلی فعال باقی مانده است.

تنها راز باقیمانده این است که چطور مهاجمین می‌دانستند باید از این کارکرد سندسازی‌نشده استفاده کنند و این همه اطلاعات در مورد آن را از کجا پیدا کردند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.