Opération Triangulation : une fonctionnalité jusqu’alors inconnue dans les iPhones exploitée à des fins de logiciels espions

Il a été découvert qu’une campagne de logiciels espions jusqu’alors inconnue ciblant les iPhones, qui se poursuivrait depuis 2019, exploitait une fonctionnalité jusqu’alors inconnue des puces conçues par Apple Inc. pour contourner les protections de sécurité matérielles.

Détaillé aujourd’hui par des chercheurs de Kaspersky Labs Inc. au 37ème Congrès de Communication du Chaos, la campagne, baptisée « Opération Triangulation », commence par une attaque sans clic sur iMessage d’Apple qui utilise quatre vulnérabilités sur les versions d’iOS jusqu’à la version 16.2. Une attaque sans clic est, comme son nom l’indique, une attaque qui peut infecter un appareil cible sans aucun clic de la part d’un utilisateur.

L’attaque implique que ceux qui sont à l’origine de l’attaque envoient une pièce jointe iMessage malveillante que l’application traite sans montrer aucun signe à l’utilisateur. L’attaque exploite d’abord une vulnérabilité d’exécution de code à distance, identifiée comme CVE-2023-41990, dans une instruction de police ADJUST TrueType réservée à Apple, jusqu’alors non documentée. Les chercheurs notent que l’instruction existe depuis le début des années 1990 mais n’a été supprimée que récemment dans un patch.

Après avoir obtenu l’accès, les attaquants peuvent ensuite exploiter diverses vulnérabilités d’iOS, notamment dans l’environnement de la bibliothèque JavaScriptCore, pour exécuter un exploit d’élévation de privilèges en JavaScript. L’exploit est masqué pour le rendre illisible, puis exploite un futur débogage pour pouvoir manipuler la mémoire de JavaScriptCore et exécuter les fonctions de l’interface de programmation d’application.

Parmi les autres vulnérabilités exploitées lors de l’attaque, citons la vulnérabilité de débordement d’entier. CVE-2023-32434un contournement de la couche de protection de page suivi comme CVE-2023-38606et un exploit Safari CVE-2023-32435. En fin de compte, l’exploit obtient les privilèges root et exécute d’autres étapes, notamment le chargement de logiciels espions.

Les chaînes d’attaque peuvent être techniques, mais l’étape intéressante a été l’exploitation du contournement de la couche de protection de page de CVE-2023-38606 et la manière dont il a été exploité. Les chercheurs de Kaspersky affirment que cela revient au fait que les attaquants sont « capables d’écrire des données sur une certaine adresse physique tout en contournant la protection matérielle de la mémoire en écrivant les données, l’adresse de destination et le hachage des données dans des registres matériels inconnus de la puce non utilisés par le micrologiciel. .»

Mais quelle fonctionnalité matérielle inconnue ? Même les chercheurs n’en sont pas sûrs.

“Nous pensons que cette fonctionnalité matérielle inconnue était très probablement destinée à être utilisée à des fins de débogage ou de test par les ingénieurs Apple ou l’usine ou qu’elle a été incluse par erreur”, expliquent les chercheurs. “Comme cette fonctionnalité n’est pas utilisée par le firmware, nous n’avons aucune idée de la manière dont les attaquants pourraient l’utiliser.”

Les chercheurs ont publié les détails techniques de l’exploit, au moins autant qu’ils l’ont rassemblé, dans leur intégralité afin que d’autres chercheurs iOS puissent confirmer les résultats et proposer des explications possibles sur la façon dont les attaquants ont découvert une fonctionnalité matérielle inconnue.

Image : DALL-E 3