Malware Triangulation : Plongée au Cœur d’une Cyber-Attaque Révolutionnaire sur iOS

Le

Malware Triangulation iOS : la récente révélation lors du 37ème Congrès de Communication du Chaos (37C3) à Hambourg a mis en lumière une série d’exploits et de vulnérabilités alarmantes affectant iOS, intitulée « Operation Triangulation ». Cette attaque sophistiquée, orchestrée par des hackers inconnus, ciblait spécifiquement les iPhones des chercheurs en sécurité.

La Chaîne d’Attaque de l’Opération Triangulation

Le vecteur d’attaque principal était une pièce jointe iMessage malveillante, exploitant une vulnérabilité d’exécution de code à distance (CVE-2023-41990) via une instruction TrueType ADJUST non documentée, existant depuis les années 90. Utilisant des techniques avancées de programmation orientée retour/saut et des étapes multiples, les attaquants parvenaient à exécuter un exploit d’élévation de privilèges en JavaScript, tout en manipulant la mémoire JavaScriptCore et du noyau.

L’exploit se basait également sur une vulnérabilité d’overflow d’entier (CVE-2023-32434) dans les appels système de mappage de mémoire de XNU, permettant un accès en lecture/écriture à la mémoire physique totale du dispositif. En outre, il exploitait une fonctionnalité de débogage JavaScriptCore ($vm) pour manipuler la mémoire JavaScriptCore.

Les attaquants ont réussi à obtenir des privilèges root, en exécutant un autre exploit dans le noyau sous forme d’un fichier objet Mach, utilisant à nouveau les vulnérabilités CVE-2023-32434 et CVE-2023-38606. Cette attaque complexe leur permettait de faire pratiquement tout ce qu’ils voulaient avec le dispositif, y compris l’exécution de logiciels espions.

Le Mystère et la Vulnérabilité CVE-2023-38606

Une caractéristique intrigante de cette attaque est l’utilisation d’une fonctionnalité matérielle inconnue des SoC conçus par Apple pour contourner les protections de sécurité basées sur le matériel. Cette fonctionnalité permettait d’écrire des données à une adresse physique spécifique tout en contournant la protection de la mémoire par le matériel. Les détails techniques de cette exploitation restent en grande partie un mystère.

Détails Techniques et Implications

L’exploit ciblait des registres MMIO inconnus, qui n’appartiennent pas aux plages MMIO définies dans l’arbre de périphériques d’Apple. Ces registres semblent appartenir au coprocesseur GPU. Les chercheurs ont également découvert une utilisation unique d’une fonctionnalité matérielle pour les opérations DMA, permettant de contourner la couche de protection des pages.

Source : https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/

DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Prenez garde à ce piratage Gmail qui peut même contourner la double authentification

Aucun système informatique n'est inviolable, même ceux réputés parmi...

Les outils logiciels au cœur de la conformité RGPD : un atout indispensable pour les DPO

Logiciels conformité RGPD : La mise en conformité avec...

Sanction record pour hubside.store en matière de prospection commerciale

Le 4 avril 2024, la Commission Nationale de l'Informatique...