“Kaspersky” tərəfindən “Apple” prosessorlarında kritik zəiflik aşkarlanıb
NOCOMMENT.az xəbər verir ki, “Kaspersky”-nin Təhdidlərin Tədqiqi və Təhlili üzrə Qlobal Mərkəzinin mütəxəssisləri “Apple iPhone” smartfonlarında “Trianqulyasiya Əməliyyatı” kampaniyası üçün mühüm əhəmiyyət kəsb edən əvvəllər naməlum olan aparat funksiyasını aşkar ediblər. Söhbət CVE-2023-38606 çip zəifliyindən gedir. Onun vasitəsilə təcavüzkarlar “iPhone” smartfonlarının 16.6 versiyaya qədər olan əməliyyat sisteminin nüvə yaddaşındakı qorunan sahələrin aparat müdafiəsindən yan keçiblər. Mütəxəssislər Hamburqda keçirilən “Chaos Communication Congress”də “Trianqulyasiya Əməliyyatı” haqqında yeni təfərrüatları açıqlayıblar.
Aşkar edilmiş zəiflik, çox güman ki, proqram təminatında sınaq və ya sazlama üçün nəzərdə tutulmuş istifadə olunmayan aparat xüsusiyyətidir. Qurban qoşmada “zero-click” istismarı ilə gizli “iMessage” ismarışı aldıqdan və təcavüzkarlar bu istismardan istifadə edərək kodu icra edə və imtiyazları artıra bildikdən sonra, bu aparat xüsusiyyətindən “Apple” çiplərinin aparat müdafiəsi vasitələrindən yan keçmək və məzmunu manipulyasiya etmək üçün istifadə ediblər. Bu addım cihaz üzərində tam nəzarəti ələ keçirmək üçün çox vacib idi. “Apple” indi bu zəifliyi aradan qaldırıb.
“Kaspersky”yə məlum olduğu qədərilə, bu funksiya sənədləşdirilməyib. O, proqram təminatında istifadə edilməyib və ənənəvi üsullardan istifadə edərək onu aşkar etmək və təhlil etmək çətin olub. Bu funksiya istifadə edilmədiyi üçün mütəxəssislər təcavüzkarların ondan istifadə qaydaları haqqında təxminləri necə etdiyini bilmirlər. “Kaspersky”nin Təhdidlərin Tədqiqat və Təhlili üzrə Qlobal Mərkəzinin əks mühəndisliklə məşğul olan mütəxəssisləri aparat və proqram təminatının “iPhone”a necə inteqrasiya olunduğunu diqqətlə təhlil ediblər. Onlar xüsusilə yaddaş görüntülü giriş-çıxış (Memory-mapped I/O)-üsuluna – sistemdəki mərkəzi prosessor və periferik qurğular arasında əlaqə yaratmaq üçün lazım olan ünvanlar – kökləniblər. Təcavüzkarlar tərəfindən yaddaş nüvəsinin aparat müdafiəsindən yan keçmək üçün istifadə edilən naməlum MMIO ünvanları cihazən kök faylında müəyyən edilmiş diapazonların heç birində aşkar edilməyib. Bu, ciddi problemə gətirb çıxarıb. Bundan əlavə, komanda sistemin çip üzərində mürəkkəb iş sxemini və onun iOS əməliyyat sistemi ilə qarşılıqlı əlaqəsini, xüsusən yaddaşın idarə edilməsi və təhlükəsizlik mexanizmləri hissəsində sökməli olub. Bu proses müxtəlif cihaz kök faylları, mənbə kodu, nüvə formaları və bu MMIO ünvanlarına hər hansı istinad üçün proqram təminatının diqqətlə araşdırılmasını əhatə edib.
“Bu, sıradan bir zəiflik deyil. iOS ekosisteminin qapalı təbiətinə görə, onu tapmaq mürəkkəb və vaxt aparan olub; həm aparat, həm də proqram təminatının arxitekturasının hərtərəfli başa düşülməsi lazım gəlib. Bu zəiflik sübut edir ki, hətta ən müasir aparat müdafiə vasitələri belə, bu müdafiələrdən yan keçməyə imkan verən aparat funksiyaları mövcud olduğu müddətcə təcrübəli təcavüzkar qarşısında acizdir”, – deyə “Kaspersky”nin aparıcı kibertəhdid tədqiqatçısı Boris Larin qeyd edir.
“Trianqulyasiya Əməliyyatı” iOS cihazlarını hədəf alan APT kampaniyasıdır. “Kaspersky” onun haqqında 2023-cü ilin yayında məlumat verib. Hücumlarda 16.2 versiyasına qədər iOS cihazları üçün dörd sıfır gün boşluğundan istifadə edərək iMessage vasitəsilə istismarların yayılmasının mürəkkəb üsulundan istifadə edilib. Eyni zamanda, istifadəçilərdən heç bir fəaliyyət tələb olunmayıb. Nəticədə təcavüzkarlar cihaz və istifadəçi məlumatları üzərində tam nəzarəti ələ keçiriblər. “Kaspersky”nin bildirişindən sonra “Apple” şirkəti rəsmi olaraq GReAT tədqiqatçıları tərəfindən aşkar edilmiş dörd sıfır gün boşluğunu aradan qaldıran təhlükəsizlik yeniləmələrini yayımlayıb (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Onlar iPhone, iPod, iPad, macOS cihazları, Apple TV və Apple Watch da daxil olmaqla, çoxlu sayda “Apple” məhsullarını əhatə edib.
“Trianqulyasiya Əməliyyatı”nda istifadə edilən bütün zəifliklərin və istismarların ətraflı təhlilini burada görə bilərsiniz: https://securelist.ru/operation-triangulation-the-last-hardware-mystery/108683/.
Hədəfli hücumlardan qorunmaq üçün “Kaspersky” mütəxəssisləri şirkətlərə tövsiyə edir:
• boşluqları vaxtında aradan qaldırmaq üçün əməliyyat sistemini, tətbiqləri və antivirus proqramlarını mütəmadi olaraq yeniləyin;
• Təhlükəsizlik Əməliyyatları Mərkəzinin (SOC) işçilərinin Təhdid Məlumatına (TI) çıxışının olmasını təmin edin. Məsələn, Kaspersky Threat Intelligence portalında siz “Kaspersky” tərəfindən kiberhücumlar haqqında 20 ildən artıq müddətdə haqqında toplanmış məlumatları əldə edə bilərsiniz;
• ən son hədəfli təhdidlər də daxil olmaqla, təhlükəsizlik işçilərinin bacarıqlarını təkmilləşdirin. Aparıcı “Kaspersky” mütəxəssisləri tərəfindən hazırlanmış onlayn təlimlər bu işdə kömək edə bilər;
• Kaspersky Endpoint Detection and Response kimi son cihaz səviyyəsində insidentləri aşkar etmək və onlara cavab vermək üçün EDR həllərindən istifadə edin;
• dərin təhlil əldə etmək üçün Kaspersky Incident Response və Digital Forensics xidmətləri tərəfindən təmin edilən kibertəhlükələr haqqında bildirişləri öyrənin.
