El Equipo de Análisis e Investigación Global (GReAT) de Kaspersky ha descubierto una característica de hardware previamente desconocida en los equipos de Apple crítica en la campaña Operation Triangulation. Los analistas presentaron este descubrimiento en la 37º edición del congreso de hacking `Chaos Communication Congress´, celebrado en Hamburgo.

El equipo GReAT de Kaspersky ha descubierto una vulnerabilidad en los chips de Apple que ha tenido un papel fundamental en los recientes ataques ejecutados contra dispositivos de la marca, una campaña denominada `Operación Triangulación´ que permitió a los atacantes eludir los sistemas de protección.
 

Se trata de una campaña APT (amenaza persistente avanzada) dirigida contra dispositivos iOS descubierta por Kaspersky a principios de este verano. Emplea exploits sin clic distribuidos a través de la aplicación iMessage. Esto permite a los atacantes obtener el control total del dispositivo y acceder a datos sensibles del usuario. Afecta a un amplio abanico de productos de Apple, como iPhones, iPods, iPads, dispositivos macOS, Apple TV…

Todo apunta a que la vulnerabilidad descubierta está basada en el principio de `seguridad por oscuridad´. Tras el ataque inicial a través de iMessage, los ciberdelincuentes consiguen ganar privilegios con los que manipulan la memoria. Algo crucial para obtener el control total del equipo. Este agujero se ha identificado como CVE-2023-38606.

Los investigadores de GReAT realizaron una intensa labor de ingeniería inversa, analizando meticulosamente la integración de hardware y software del iPhone, centrándose particularmente en las direcciones de E/S asignadas en memoria (MMIO), fundamentales para facilitar la comunicación entre la CPU y los periféricos del sistema. Las direcciones MMIO desconocidas, utilizadas por los atacantes para eludir la protección de la memoria, no se identificaron en ningún lugar del árbol de dispositivos del sistema. También se analizó el complejo funcionamiento del procesador y su interacción con iOS, sobre todo en lo referente a la gestión de la memoria y los mecanismos de protección de hardware. Este proceso implicó el análisis de código fuente, imágenes del kernel y firmware, entre otras cosas.

"No estamos ante una vulnerabilidad ordinaria. La cerrada naturaleza del ecosistema iOS hizo del análisis todo un desafío en el que se empleó mucho tiempo y se necesitó alcanzar una profunda comprensión integral del hardware y el software. Un descubrimiento del que se extrae que las más avanzadas protecciones de hardware pueden ser ineficaces frente a las amenazas más sofisticadas, particularmente cuando existen características de hardware que eluden la protección", explica Boris Larin, analista principal de seguridad en GReAT de Kaspersky.

Para estar protegido frente a amenazas tanto conocidas como desconocidas, los expertos de Kaspersky recomiendan:

• Actualizar el sistema operativo y aplicaciones e instalar software antivirus de confianza para parchear vulnerabilidades
• Proveer al equipo del SOC con la última información de inteligencia de amenazas. Kaspersky Threat Intelligence Portal es un sencillo punto de acceso para las empresas de TI que ofrece información y datos recopilados por la compañía durante los últimos 20 años.
• Capacitar al equipo de ciberseguridad con Kaspersky online training para que pueda afrontar las últimas amenazas. Ha sido desarrollado por los expertos de GReAT.
• Para proteger los endpoints e investigar y resolver incidentes a tiempo, es importante implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
• Investigar las amenazas con Kaspersky´s Incident Response and Digital Forensics services. Se trata de un servicio que permite disponer de una información completa y exhaustiva para estar preparado frente a los nuevos riesgos.

Más información y detalles técnicos sobre Operation Triangulation en Securelist.

FOTO PRINCIPAL.: Photo by Jess Bailey Designs.