苹果公司昨天针对IOS发布了一个安全更新,涉及到三个0 day漏洞,这次漏洞的发现过程从一次APT攻击开始。大家需要注意,黑客通过漏洞进行远程控制并获得IOS用户的系统最高权限,造成敏感信息泄露、数据破坏等严重后果。
苹果公司三个0 day漏洞如图1所示:
这次漏洞的发现过程从一次APT攻击开始。阿联酋人权活动人士Ahmed Mansoor在他的苹果手机上收到一个含有链接地址的短信,短信声称链接的内容是关于阿联酋虐待监狱囚犯的。Mansoor引起警觉,随即将该链接提供给了加拿大的Citizen实验室。Citizen实验室和Lookout公司的联合研究结果表明,这是一种针对IOS用户的APT攻击,该攻击代码被命名为Pegasus。
Pegasus一共涉及到三个IOS 0day漏洞的利用:CVE-2016-4655、CVE-2016-4656和CVE-2016-4657。这条漏洞链的利用过程如图2所示。
Pegasus的大致攻击步骤是:
1、首先通过SMS短信、邮件等渠道向目标用户的手机上发送一个包含恶意代码的链接,诱骗攻击目标点击链接;
2、点击链接后,Pegasus先利用CVE-2016-4655漏洞实现较低权限的代码执行,CVE-2016-4655漏洞存在于IOS safari浏览器的Webkit组件中;
3、其次,Pegasus利用漏洞CVE-2016-4656造成信息泄露,攻击者可以借此获得内存中的内核地址信息,从而有效绕过内核地址随机化机制(KASLR);
4、最后,Pegasus使用第三个0 day漏洞CVE-2016-4657获得系统内核权限,进一步执行关闭代码签名、掩盖踪迹、写入文件等操作,最终实现越狱。此时,攻击者完全掌握了对目标系统的控制,可以进行进一步的恶意行为,比如安装间谍软件,监听短信和通话,查看Gmail、Calendar和Facebook等各类应用的敏感信息等。
漏洞利用链
Pegasus在越狱之后,会用jsc的二进制代码替换掉一个名为rtbuddyd的守护进程,然后再链接到一个攻击者准备好的js文件。jsc可以让用户使用webkit来解析Javascript代码,从而再次触发漏洞。由于被替换掉的rtbuddyd是开机自动启动的,所以Pegasus可以成功借此实现持久化。
国外已经有详细的技术分析报告,详情请见以下链接:
../../rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf
影响的版本 7.0 <= IOS < 9.3.5不受影响的版本 IOS 9.3.5漏洞影响
严重:成功利用此攻击可以远程获得IOS用户的系统最高权限,造成敏感信息泄露、数据破坏等严重后果。
规避方案 升级到苹果厂商发布的最新版本:IOS 9.3.5 不要轻易点击不明来源的链接