Eine Sicherheitslücke, von der man glaubte, dass sie bereits im Jahr 2022 von Apple gepatcht wurde, ist mysteriöser, als Forscher zunächst annahmen. Der Patch entschärft eine Schwachstelle, die in freier Wildbahn als Teil einer Angriffskette auf Co-Prozessoren ausgenutzt wurde.
Während der Analyse von ColdIntro (CVE-2022-32894) entdeckten wir eine weitere Schwachstelle, die es Angreifer*innen ermöglicht, einem Co-Prozessor zu entkommen und eine Speicherbeschädigung im Appprozessor (AP) zu verursachen. Diese Schwachstelle wurde von Jamf identifiziert und dem Sicherheitsforscher 08tc3wbb zugeschrieben, der sie unter dem Namen ColdInvite (CVE-2023-27930) entdeckt hat.
ColdInvite macht sich eine Sicherheitslücke in bestimmten Versionen von iOS zunutze, um iPhone Benutzer*innen zu schädigen.
Was sind ColdIntro und ColdInvite?
Eine Sicherheitslücke, die es einem Angreifer/einer Angreiferin ermöglicht, andere Sicherheitslücken innerhalb des AP-Kernels auszunutzen. Obwohl sie allein nicht für eine vollständige Übernahme des Geräts ausreicht, kann diese Schwachstelle ausgenutzt werden, um den Co-Prozessor zu nutzen, um Lese-/Schreibrechte für den Kernel zu erhalten, wodurch ein böswilliger Akteur/eine böswillige Akteurin seinem Ziel, das Gerät vollständig zu kompromittieren, näher kommt.
Nach einer Analyse der historischen Daten haben wir Anzeichen für Angriffe beobachtet, die auf Co-Prozessoren abzielen. Ein von Google Project Zero veröffentlichtes Advisory kommt zu einem ähnlichen Ergebnis: Die Forschung identifiziert kommerzielle Bedrohungsakteur*innen, die derzeit Schwachstellen in Co-Prozessoren in freier Wildbahn auskundschaften.
Apple hat iOS 15.6.1 veröffentlicht, um die Sicherheitslücke CVE-2022-32894 im Kernel zu schließen. Unsere Nachforschungen haben ergeben, dass die Absicht dieses Patches darin bestand, die Methode zu entschärfen, mit der ein Angreifer/eine Angreiferin vom Co-Prozessor zum Appprozessor springen kann. Wir haben diese Schwachstelle ColdIntro genannt: eine unerwünschte Einführung vom Display Co-Processor (DCP) in den AP-Kernel. Darüber hinaus haben wir eine weitere Schwachstelle gefunden, die es Bedrohungsakteur*innen ermöglicht, auf ähnliche Weise vom DCP zum AP-Kernel zu gelangen. Wir haben der neu gepatchten Sicherheitslücke einen Namen gegeben: ColdInvite.
Warum ist sie so wichtig?
Wir gehen davon aus, dass mit der Weiterentwicklung der modernen Bedrohungslandschaft in Zukunft mehr Co-Prozessor-Angriffe und Schwachstellen auftreten werden.
In Übereinstimmung mit unseren Richtlinien zur verantwortungsvollen Offenlegung werden wir den Konzeptnachweis für CVE-2023-27930 veröffentlichen, sobald Apple ein Patch zur Entschärfung dieser Bedrohung herausgibt.
Welche Plattformen sind betroffen?
ColdIntro: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer, und iPod touch (7. Generation) mit installiertem iOS 15.6 (und älteren Versionen von iOS).
ColdInvite: iPhone 12 (und neuere Modelle) mit installierten Versionen von iOS 14 bis 16.3.1.
Wie kann ich mich vor dieser Bedrohung schützen?
Um diese Sicherheitslücke zu schließen, empfehlen Apple und Jamf, die betroffenen Geräte auf iOS 16.x.x zu aktualisieren. Jamf dankt dem Apple Product Security Team für die schnelle Behebung der Sicherheitslücke.
Kund*innen mit Jamf Pro wird empfohlen, auf die neueste Version von iOS auf ihren mobilen Flotten zu aktualisieren, sobald diese veröffentlicht wird. Für Kund*innen mit Jamf Protect werden betroffene iOS Versionen als besonders anfällig gekennzeichnet.
Möchten Sie alle technischen Details von ColdIntro und ColdInvite kennenlernen?
Wenn Sie auf der Suche nach dem vollständigen Forschungsdokument sind, ist Ihre Suche beendet!
nach Kategorie:
Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.