Esperti di sicurezza hanno rivelato una sorprendente campagna di hacking durata quattro anni contro la compagnia di sicurezza russa Kaspersky, descritta come “l’exploit più sofisticato di sempre”.
L’attacco Operation Triangulation ha messo in atto una serie complessa di exploit, incluso un attacco iMessage senza click, mirato agli iOS fino alla versione 16.2. L’attacco ha avuto inizio con un allegato iMessage maligno che sfruttava un’istruzione di font TrueType non documentata, conducendo all’esecuzione di codice remoto.
La catena di exploit ha incorporato tecniche multiple quali la programmazione orientata al ritorno/salto, l’oscuramento di JavaScript e la manipolazione della memoria di JavaScriptCore e del kernel, secondo quanto riferito dal ricercatore di Kaspersky, secondo Boris Larin.
Un elemento cruciale dell’attacco è stato l’uso di controlli hardware speciali (registri MMIO) per eludere il livello di protezione delle pagine di Apple. Ciò è stato realizzato tramite specifiche vulnerabilità, identificate come CVE-2023-41990, CVE-2023-32434 e CVE-2023-38606 nel database dei difetti di sicurezza.
Sfruttando queste falle, gli aggressori potevano accedere a tutta la memoria dell’iPhone e ottenere il controllo completo per eseguire ulteriori azioni come inviare registrazioni dal microfono, foto, informazioni sulla posizione e altri dati confidenziali ai loro server.
Una di queste vulnerabilità, CVE-2023-38606, era particolarmente insidiosa, permettendo agli aggressori di aggirare ulteriori protezioni nei nuovi iPhone. Ciò avveniva inviando dati a certe parti della memoria dell’iPhone usando componenti nascoste dei chip di Apple, che probabilmente erano destinate a verificare e risolvere i problemi.
I ricercatori hanno scoperto questi componenti nascosti connessi al processore grafico dell’iPhone. Tentando di accedervi, hanno provocato un crash del processore grafico, dimostrando che erano parte dell’attacco.
Un particolare attacco, numerato 0x206040000, era fondamentale poiché veniva utilizzato all’inizio e alla fine dell’attacco. Ciò suggerisce che veniva usato per attivare o disattivare una caratteristica hardware unica o per gestire avvisi durante l’attacco.
Apple ha corretto il problema di sicurezza aggiornando la mappa interna del dispositivo (nota come albero dei dispositivi) per riconoscere e controllare l’accesso a specifiche aree di memoria, in particolare le gamme 0x206000000-0x206050000 e 0x206110000-0x206400000, che venivano abusate nell’attacco.
Il sistema del dispositivo (XNU) utilizza questa mappa per decidere se consentire l’accesso a certe parti della sua memoria. Ogni area nella mappa è chiaramente etichettata per mostrare di che tipo di memoria si tratta e a cosa serve.
È possibile proteggersi dall’attacco Operation Triangulation?
Apple ha già corretto la combinazione di exploit utilizzati in questo caso.
Sebbene sia impossibile proteggersi completamente da un attacco zero-day, gli utenti iPhone possono comunque adottare diversi passaggi per mitigare i danni. Tuttavia, in questo caso, si trattava di un attacco mirato direttamente ai dipendenti di Kaspersky.
Aggiornare regolarmente iOS all’ultima versione è fondamentale, poiché include correzioni per vulnerabilità di sicurezza note. Gli utenti dovrebbero esercitare cautela con i messaggi, specialmente da fonti sconosciute, evitando di cliccare su link sospetti o scaricare allegati.
Utilizzare password forti e uniche e abilitare l’autenticazione a due fattori per l’ID Apple aggiunge un ulteriore strato di sicurezza. Inoltre, eseguire regolarmente backup dei dati dell’iPhone può mitigare i danni in caso di attacco.
Infine, Apple ha aggiunto una funzione chiamata “Modalità di isolamento” su iPhone, Mac e iPad in iOS 16, macOS Ventura e iPadOS 16. Si tratta di una funzione di sicurezza progettata principalmente per individui di alto profilo che potrebbero essere bersagli di attacchi informatici sofisticati.
La funzione non è intesa per l’uso quotidiano a causa della sua natura estremamente restrittiva, che limita significativamente la funzionalità del dispositivo.
Accedi per lasciare un commento:
0 Commenti