Kaspersky araştırmacıları, 2023’teki Üçgenleme saldırı kampanyasının arkasında yatan güvenlik açıklarının ayrıntılarını ortaya çıkardı.
Temmuz ayında Apple, Kaspersky’nin kampanyayla ilişkilendirdiği ancak sınırlı teknik ayrıntıya sahip olan Üçgenleme ile ilişkili güvenlik açıkları için CVE-2023-32434 ve CVE-2023-32435 yamalarını yayınladı.
Yine Temmuz ayında yamalanan CVE-2023-38606, bir uygulamanın çekirdek durumunu değiştirmesine izin verdi ve aynı zamanda Üçgenleme’nin bir parçasıydı.
Kaspersky, bir blog yazısında “saldırının, kullanıcının bilgisi olmadan işlenen, kötü amaçlı bir ek içeren görünmez bir iMessage ile başladığını” ve “kullanıcının herhangi bir işlem yapmasını gerektirmediğini” açıkladı.
Kaspersky araştırmacıları Georgy Kucherin, Leonid Bezvershenko ve Boris Larin, yeni yıldan önce Almanya’da düzenlenen Kaos Bilgisayar Konferansı’nda (CCC) ilgili bir sunumda Kaspersky personeline ait birkaç iPhone’un ele geçirilmesi nedeniyle Üçgenleme’yi analiz edebildiklerini söyledi.
Sıfır tıklama saldırısı
Larin (@oct0xor), ilk uzlaşmanın iki vektörden biri aracılığıyla sağlandığını söyledi.
Eski cihazlarda saldırı eski, belgelenmemiş bir TrueType talimatı olan fnt_Adjust’ı kullanıyordu; Larin, bunun en azından 1990’lardan beri var olduğunu söyledi (CVE-2023-41990); ve daha yeni iPhone’ları etkileyen bir işaretçi kimlik doğrulama kodu (PAC) güvenlik açığı.
Apple’ın Ocak 2023’te TrueType talimatını iOS 16.3 ve MacOS 13.2’den “sessizce” kaldırdığını söyledi; Kaspersky’nin satıcıya bildirmesinin ardından Temmuz 2023’te iOS 15 ve MacOS 12.
İlk güvenlik ihlali, tıklama olmadan çalışan kötü amaçlı bir iMessage yoluyla sağlandı ve bunu, çekirdek ayrıcalık yükseltmesi olan CVE-2023-32434’e yönelik bir istismar izledi.
Üçgenleme, XNU çekirdeğinin bellek eşleme sistem çağrılarındaki tamsayı taşmalarından yararlandı; Larin’in bu teknikten yararlanmanın “kolay” ve “son derece güvenilir” olarak tanımladığı bir teknik.
Gizli donanım adresleri
Tüm güvenlik açıkları yamalandığında sıfır gün hataları olsa da, bir tanesi özellikle dikkat çekti çünkü bunun belgelenmemiş bir donanım güvenlik açığı olduğu ortaya çıktı.
Larin, hatayı “çılgın” olarak nitelendirdi ve bunun Apple’ın A12 ila A16 Bionic çip üzerinde sistemindeki (SoC) bir donanım özelliği olduğunu söyledi.
Bu özelliğin, saldırganların Apple’ın ürün yazılımının kullanmadığı “bilinmeyen bellek eşlemeli giriş-çıkış (MIMO) donanım kayıtlarına” veri yazmaları durumunda hedef iPhone’lardaki “donanım tabanlı çekirdek bellek korumasını atlamasına” olanak tanıdığını söyledi.
Larin, araştırma ekibinin Üçgenleme istismarı tarafından kullanılan ve “temel olarak tüm donanım tabanlı çekirdek bellek korumalarını atlayan” altı adet belgelenmemiş MIMO adresi bulduğunu söyledi.
Yakında tanımlanmış MIMO kayıtları olduklarından, GPU’lar için ARM/Apple CoreSight hata ayıklama kayıtları gibi göründüklerini söyledi.
Larin yaptığı açıklamada, “iOS ekosisteminin kapalı yapısı nedeniyle keşif sürecinin hem zorlu hem de zaman alıcı olduğunu” söyledi.
Apple’ın düzeltmesi, cihaz ağacındaki bir bellek eşleme engelleme listesi aracılığıyla yapıldı.