كشف فريق البحث والتحليل العالمي في كاسبرسكي (GReAT) عن ثغرة أمنية في النظام موجودة في شريحة (SoC) التي تصنعها شركة آبل، وهي ثغرة محورية تستغلها حملة هجمات استهدفت هواتف آيفون معروفة باسم (Operation Triangulation). وقد قدم الفريق هذا الاكتشاف في مؤتمر (Chaos Communication Congress) السابع والثلاثين في مدينة هامبورج.
تسمح هذه الثغرة للمهاجمين بتجاوز نظام حماية الذاكرة في هواتف آيفون التي تعمل بإصدار نظام التشغيل iOS 16.6 أو الإصدارات الأقدم منه. وتُعد هذه الثغرة الأمنية المكتشفة مزية في عتاد الهاتف، ومن المحتمل أنها تستند إلى مبدأ (الأمن الناتج عن عدم المعرفة)، وربما كانت الغاية من وجودها هي الاختبار أو تصحيح الأخطاء.
ويأتي دور هذه المزية في هجمة (Operation Triangulation) بعد الهجوم الأولي الذي لا يحتاج إلى النقر عبر خدمة iMessage، وما يلي ذلك من رفع مستوى الصلاحيات. فقد استغل المهاجمون هذه المزية في العتاد لتجاوز وسائل الحماية المعتمدة على العتاد والتلاعب بمحتويات المناطق المحمية من الذاكرة.
وتُعد هذه الخطوة مهمة ليحصل المهاجمون على التحكم الكامل بالجهاز المستهدف، مع ذلك، عالجت شركة آبل هذه الثغرة التي عرفتها برمز CVE-2023-38606، بعدما أرسل باحثو كاسبرسكي التفاصيل إليها.
وعلى حد علم كاسبرسكي، لم توثق هذه المزية علنًا، مما صعّب اكتشافها وتحليلها باستخدام أساليب الأمان التقليدية. حيث أجرى باحثو فريق (GReAT) هندسة عكسية واسعة النطاق وتحليلًا دقيقًا للتكامل بين عتاد وبرامج هواتف آيفون مع التركيز بشكل خاص في عناوين الدخل والخرج المحددة على الذاكرة (MMIO)، التي تعد ضرورية لتسهيل الاتصال الفعال بين وحدة المعالجة المركزية (CPU) والأجهزة الطرفية في النظام.
لم تُكتشف عناوين MMIO المجهولة التي يستخدمها المهاجمون لتجاوز وسائل حماية ذاكرة النواة في أي من مجالات مخطط الأجهزة، مما مثّل تحديًا كبيرًا. لذلك كان على فريق كاسبرسكي أيضًا فهم الطريقة المعقدة التي يعمل بها النظام على الشريحة وتفاعله مع نظام التشغيل iOS، خاصة فيما يتعلق بإدارة الذاكرة وآليات الحماية.
تضمنت هذه العملية فحصًا شاملًا لمختلف مجالات مخطط الأجهزة، والكود المصدري، وصور النواة، والبرامج الثابتة في محاولة للعثور على أي ذكر لعناوين MMIO تلك.
وفي هذا الصدد، علَّق (بوريس لارين)؛ الباحث الأمني الأول في فريق البحث والتحليل العالمي في كاسبرسكي (GReAT)، قائلًا: “هذه ليست بثغرة عادية. نظرًا إلى الطبيعة المغلقة لنظام iOS، فقد كانت عملية الاكتشاف صعبة واستغرقت وقتًا طويلًا، وتطلبت فهمًا شاملًا لبنيات كل من الأجهزة والبرامج. وقد علمنا هذا الاكتشاف مجددًا أن حتى وسائل حماية الأجهزة المتقدمة قد تفشل في مواجهة مهاجم متطور، لا سيما عندما تكون هناك مزايا تسمح بتجاوز وسائل الحماية”.
الجدير بالذكر أن كاسبرسكي كشفت عن هجمة Operation Triangulation في وقت سابق من هذا العام، وهي تُعد حملة تهديدات متقدمة مستمرة (APT) تستهدف الأجهزة العاملة بنظام التشغيل iOS.
وتستخدم هذه الحملة طريقة معقدة لتوزيع الثغرات التي لا تحتاج إلى النقر حتى عبر خدمة المراسلة iMessage، وهو ما يقود بالمجمل إلى حصول المهاجمين على تحكم كامل في الجهاز المستهدَف وبيانات المستخدِم ضمنه.
كما أطلق فريق آبل تحديثات أمنية تعالج أربعًا من ثغرات (يوم الصفر) التي اكتشفها باحثو كاسبرسكي بشكل رسمي، وهي: (CVE-2023-32434، وCVE-2023-32435، وCVE-2023-38606، وCVE-2023-41990). وقد أثرت هذه الثغرات في طيف واسع من منتجات آبل، ومنها: هواتف آيفون، وأجهزة آيباد اللوحية، والحواسيب العاملة بنظام macOS، وأجهزة Apple TV، وساعات Apple Watch الذكية.
وصايا خبراء كاسبرسكي للحماية من هجوم Operation Triangulation:
لحماية نفسك من الوقوع ضحية لهجوم موجه، سواء من مصدر خطر معروف أم غير معروف، يوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية:
- حَدِّث نظام التشغيل، والتطبيقات، وبرمجية مضاد الفيروسات بشكل دوري لسد أي ثغرات أمنية معروفة.
- زوِّد فريق مركز العمليات الأمني بالوصول إلى أحدث معلومات التهديدات. ويُعَدُ The Kaspersky Threat Intelligence Portal نقطة وصول موحدة لمعلومات التهديدات، كما يوفر بيانات الهجمات السيبرانية والمعلومات التي جمعتها كاسبرسكي خلال أكثر من 20 عامًا.
- درِّب فريق الحماية السيبرانية الخاص بك لمواجهة أحدث الهجمات الموجهة باستخدام خدمة التدريب عبر الإنترنت من كاسبرسكي، التي طوَّرها خبراء فريق البحث والتحليل العالمي.
- ضمِّن حلول الاكتشاف والاستجابة للنقاط الطرفية مثل: Kaspersky Endpoint Detection and Response؛ لتتمكن من كشف الحوادث على مستوى النقاط الطرفية والتحقيق فيها وحلِّها.
- حقّق في التنبيهات الأمنية والتهديدات التي تتعرفها عناصر التحكم الأمنية من خلال خدمات Kaspersky’s Incident Response and Digital Forensics للحصول على معرفة كبرى.