Перейти к содержимому

Trigon – новый эксплойт, угрожающий безопасности устройств iOS

Исследователи в области кибербезопасности выявили новый опасный эксплойт, нацеленный на устройства Apple iOS. Этот эксплойт, получивший название Trigon, использует критическую уязвимость в управляющей части операционной системы iOS. Данная уязвимость была впервые обнаружена компанией Kaspersky и использовалась в рамках шпионской кампании «Operation Triangulation».

Эксплойт Trigon позволяет злоумышленникам получить контроль над внутренними возможностями управления системой, скрытно обходить защитные механизмы и осуществлять чтение и запись данных.

В основе Trigon лежит уязвимость CVE-2023-32434. Она обнаружена в одной из ключевых функций iOS – mach_make_memory_entry_64.

Злоумышленники могут использовать эту уязвимость для создания поддельного блока памяти объемом более 18 000 петабайт, что значительно превышает допустимые аппаратные пределы устройства. Ошибка возникает из-за некорректного вычисления параметров размера и смещения.

Уязвимость позволяет обходить механизмы защиты системы, а запуск эксплойта возможен с использованием следующих параметров:

size=0xFFFFFFFFFFFFC000, offset=0x8000

Манипуляция этими значениями приводит к сбою расчетов в системе и ослаблению защитных механизмов.

Как работает эксплойт

1. Создание вредоносного блока памяти

Первая стадия эксплуатации уязвимости заключается в использовании специальной области памяти, выделенной для графического процессора (GPU). Злоумышленники создают объект IOSurface и задают ему свойство PurpleGfxMem, тем самым обходя защитные механизмы.

В результате этого становится возможным получение доступа к защищенным областям памяти системы.

2. Доступ к физической памяти

На следующем этапе эксплойт позволяет злоумышленникам получить доступ к памяти системы. Для этого используется функция mach_vm_map, а также вычисляются определенные области памяти, в которых хранятся ключевые данные операционной системы.

Например, данные, передаваемые при загрузке системы (известные как iboot-handoff), хранятся в оперативной памяти (DRAM). Используя их, можно определить расположение ключевых структур iOS.

3. Получение полного контроля над системой

Целью Trigon является предоставление злоумышленникам неограниченных привилегий в системе. Для этого эксплойт использует массовое создание объектов IOSurface, которые затем анализируются и используются для обхода защитных механизмов.

Путем сканирования таблицы pv_head_table, отслеживающей типы страниц памяти, злоумышленники выявляют нужные области и модифицируют ключевые структуры (например, task_t и proc_t), что позволяет получить root-привилегии и отключить механизмы песочницы (sandboxing).

На какие устройства влияет Trigon?

Эксплойт Trigon работает на устройствах с чипом A10(X) (iPhone 7, iPad 6th Gen) и уязвим для версий iOS 13–16.5.1.

Однако новые устройства (на базе A11, A12+) менее подвержены атаке, так как в них применены аппаратные механизмы защиты:

PAC (Pointer Authentication Codes) – предотвращает изменение критически важных структур системы.
PPL (Page Protection Layer) и CTRR (Configurable TRR) – блокируют манипуляции с памятью.
iboot-handoff на новых устройствах располагается в недоступной для записи области, что делает невозможным вычисление базовых адресов.

Несмотря на эти меры, Trigon представляет серьезную угрозу, так как его эксплуатация не требует классических ошибок памяти или гонок потоков, что делает его особенно сложным для обнаружения.

Как защититься?

🔹 Apple устранила уязвимость в iOS 16.5.1. Если у вас более старая версия iOS, срочно обновите систему.
🔹 Jailbreak-устройства особенно уязвимы для атак, поэтому рекомендуется избегать несанкционированных изменений в системе.
🔹 Корпорациям и организациям следует проводить аудит безопасности iOS-устройств и применять соответствующие защитные меры.
🔹 Исследователи Kaspersky продолжают изучать новые варианты эксплуатации этой уязвимости и обещают представить более детальный анализ.

Apple необходимо внедрять более мощные механизмы защиты на уровне System on Chip (SoC), поскольку современные эксплойты способны обходить традиционные системы безопасности.

Лучший способ защиты – регулярные обновления и комплексная стратегия кибербезопасности.