روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ سی و هفتمین کنگرهی ارتباطات آشوب (37C3) هماکنون در هامبورگ در حال برگزاری است، تیم GReAT کسپرسکی شامل بوریس لارین، لئونید بزورشنکو و گریگوریتی کوچرین پیرامون مبحث «حمله تریانگولاسیون: حمله به آیفون محققین چگونه اتفاق میافتد؟» سخنرانی کردند. آنها زنجیره حمله مفصل شرح داده و در مورد همه آسیبپذیریهای دخیل صحبت کردند. از میان موارد دیگر آنها برای اولین بار جزئیات اکسپلویت آسیبپذیری سختافزاری CVE-2023-38606 را ارائه دادند. شاید در این مقاله به همه مواردی که در موردشان سخنرانش شد نپردازیم اما مختصر نکات کلیدی را عنوان خواهیم کرد. با ما همراه باشید.
همانطور که قبلاً در ابتدای تابستان نوشتیم، حمله با iMessage نامرئی شروع شد که حاوی یک لینک مخرب بود که بدون اطلاع کاربر پردازش شده بود. این حمله اصلاً نیازی به هیچ اقدامی از جانب کاربر نداشت.
- کارشناسان ما با نظارت بر شبکه Wi-Fi شرکتی با استفاده از سیستم SIEM خود ما، پلتفرم نظارت و تجزیه و تحلیل یکپارچه Kaspersky (KUMA) توانستند این حمله را شناسایی کنند.
- این حمله از چهار آسیبپذیری روز صفر استفاده کرد که همه دستگاههای iOS را تا نسخه 16.2 تحت تأثیر قرار داد: CVE-2023-32434، CVE-2023-32435، CVE-2023-41990 و CVE-2023-38606 فوقالذکر.
- بهره برداری مبهم Triangulation میتواند هم بر روی نسخههای مدرن آیفون و هم در مدلهای نسبتاً قدیمی کار کند. و در صورت حمله به آیفونهای جدیدتر، میتواند کد تأیید هویت اشاره گر PAC) ) را دور بزند.
- آسیبپذیری CVE-2023-32434 که توسط این اکسپلویت استفاده میشود، به مهاجمان امکان دسترسی به کل حافظه فیزیکی دستگاه را در سطح کاربر، هم برای خواندن و هم برای نوشتن، میداد.
- به لطف اکسپلویت هر چهار آسیبپذیری، بدافزار میتوانست کنترل کامل دستگاه را به دست آورد و هر بدافزار مورد نیاز را اجرا کند، اما در عوض فرآیند IMAgent را راهاندازی و از آن برای حذف تمام آثار حمله از دستگاه استفاده کرد. همچنین فرآیند سافاری را در پسزمینه راهاندازی و آن را با بهرهبرداری برای سافاری به صفحه وب مهاجم هدایت کرد.
- این اکسپلویت سافاری حقوق و مزایای اصلی را گرفت و مراحل بعدی حملات را آغاز کرد (که قبلاً در انتشارات قبلی خود در مورد آنها صحبت کردیم).
- آسیبپذیری CVE-2023-38606 امکان دور زدن مکانیسم محافظت از حافظه داخلی را با استفاده از اسناد غیرمستند و استفاده نشده در رجیسترهای پردازنده میانافزار فراهم میکند. به گفته کارشناسان ما، این عملکرد سخت افزاری احتمالاً برای اهداف اشکالزدایی یا آزمایش ایجاد شده است و سپس به دلایلی فعال باقی مانده است.
تنها راز باقیمانده این است که چطور مهاجمین میدانستند باید از این کارکرد سندسازینشده استفاده کنند و این همه اطلاعات در مورد آن را از کجا پیدا کردند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
