L'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky a découvert une caractéristique matérielle jusqu'alors inconnue des iPhones d'Apple, ayant joué un rôle central dans la campagne Operation Triangulation. Les experts ont présenté ce nouveau développement dans l’affaire lors du 37e Congrès « Chaos Communication » à Hambourg.
L'équipe GReAT de Kaspersky a découvert une vulnérabilité dans le « système sur puce » (SoC) d'Apple, au rôle décisif dans une récente campagne d’attaques ciblant les iPhone, connue sous le nom de « Operation Triangulation », permettant aux attaquants de contourner la protection hardware de la mémoire sur les iPhones fonctionnant sur les versions d'iOS jusqu'à iOS 16.6.
La vulnérabilité découverte est une caractéristique matérielle, probablement conçue selon le principe de la « sécurité par l'obscurité », qui pourrait avoir été destinée à des fins de test ou de débogage. Après l'attaque initiale par iMessage zero-click et l’élévation des privilèges qui s'en est ensuivie, les attaquants ont exploité cette fonctionnalité matérielle pour contourner les protections de sécurité basées sur le hardware et manipuler le contenu des zones de mémoire protégées. Il s’agit là d’une étape cruciale pour obtenir le contrôle total de l'appareil. Apple a résolu le problème, désigné comme la vulnérabilité CVE-2023-38606.
À la connaissance de Kaspersky, cette caractéristique n'a pas été documentée publiquement, ce qui a rendu sa détection et son analyse à l'aide de méthodes de sécurité conventionnelles beaucoup plus difficiles. Les chercheurs du GReAT se sont attelés à une rétro-ingénierie approfondie, analysant méticuleusement l'intégration matérielle et logicielle de l'iPhone, en se concentrant particulièrement sur les adresses MMIO (Memory-Mapped I/O), qui sont essentielles pour faciliter une communication efficace entre l'unité centrale et les périphériques du système. Les adresses MMIO inconnues, utilisées par les attaquants pour contourner la protection matérielle de la mémoire du noyau, n'ont été identifiées dans aucune arborescence de périphériques, ce qui a constitué un défi de taille. L'équipe a également dû déchiffrer le fonctionnement complexe du SoC et son interaction avec le système d'exploitation iOS, en particulier en ce qui concerne la gestion de la mémoire et les mécanismes de protection. Ce processus a impliqué un examen approfondi de divers fichiers d'arborescence, de codes sources, d'images de noyau et de microprogrammes, dans le but de trouver une quelconque référence à ces adresses MMIO.
« Il ne s'agit pas là d'une vulnérabilité ordinaire. En raison de la nature fermée de l'écosystème iOS, le processus de découverte a été long et difficile, nécessitant une compréhension complète des architectures matérielles et logicielles de l’écosystème. Cette découverte nous rappelle une fois de plus que même les protections matérielles avancées peuvent être rendues inefficaces face à un attaquant expérimenté, en particulier lorsqu'il existe des fonctionnalités matérielles permettant de contourner ces protections », commente Boris Larin, chercheur principal en sécurité au sein du GReAT de Kaspersky.
« Operation Triangulation » est une campagne de menaces persistantes avancées (APT) ciblant les appareils iOS, que Kaspersky a découvert au début de l'été 2023. Cette campagne sophistiquée repose sur des exploits « zero-click » distribués via iMessage, permettant aux attaquants de prendre le contrôle complet de l'appareil ciblé et d'accéder aux données de l'utilisateur. Apple a réagi en publiant des mises à jour de sécurité pour combler quatre vulnérabilités de type « zero-day » identifiées par les chercheurs de Kaspersky : CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 et CVE-2023-41990. Ces vulnérabilités affectent un large éventail de produits Apple, notamment les iPhones, les iPods, les iPads, les appareils macOS, l'Apple TV et l'Apple Watch. Kaspersky a également informé Apple de l'exploitation de la fonctionnalité matérielle, ce qui a permis à l'entreprise d’en réduire l’effet
Pour en savoir plus sur l'opération Triangulation et les détails techniques de l'analyse, lisez le rapport sur Securelist.
Pour éviter d'être victime d'une attaque ciblée par un acteur de menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
● Mettez régulièrement à jour votre système d'exploitation, vos applications et votre logiciel antivirus afin de corriger les vulnérabilités connues.
● Donnez à votre équipe SOC l'accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence est un point d'accès unique aux renseignements sur les menaces, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
● Améliorez les compétences de votre équipe de cybersécurité pour qu'elle puisse faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.
● Pour la détection au niveau des terminaux, l'investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.
● Examinez les alertes et les menaces identifiées par les contrôles de sécurité avec les services de réponse aux incidents et de criminalistique numérique de Kaspersky afin d'obtenir des informations plus approfondies.