Jamf Blog
Person standing on frozen ice lake that is cracking beneath their feet
Mayo 22, 2023 por Jamf Laboratorios de amenazas

Los misterios detrás de ColdIntro y ColdInvite: edición resumida

Conozca el descubrimiento de un nuevo vector de amenazas en iPhone que permite a los atacantes eludir las prevenciones de seguridad explotando coprocesadores subprotegidos, impulsando el acceso para comprometer aún más el kernel de iOS.

Una vulnerabilidad que se consideraba parchada en 2022 por Apple es más misteriosa de lo que los investigadores creían en un principio. El parche mitigaba una vulnerabilidad que se explotaba libremente en la red como parte de una cadena de ataques dirigida a coprocesadores.

Durante el proceso de análisis de ColdIntro (CVE-2022-32894), descubrimos otra vulnerabilidad que permite a los atacantes escapar de un coprocesador e iniciar una corrupción de memoria en el procesador de aplicaciones (AP). Esta vulnerabilidad fue identificada por Jamf, y da crédito al investigador de seguridad 08tc3wbb por el descubrimiento, llamado ColdInvite (CVE-2023-27930).

ColdInvite afecta a los usuarios de iPhone aprovechándose de una vulnerabilidad en ciertas versiones de iOS.

¿Qué son ColdIntro y ColdInvite?

Una vulnerabilidad que permite a un atacante explotar otras vulnerabilidades dentro del kernel del AP. Aunque por sí sola no es suficiente para tomar el control total del dispositivo, esta vulnerabilidad puede aprovecharse para impulsar el coprocesador con el fin de obtener privilegios de lectura/escritura en el kernel, lo que permite a un malhechor acercarse a la consecución de su objetivo final de comprometer por completo el dispositivo.

Tras un análisis de los datos históricos, hemos observado indicios de ataques dirigidos a los coprocesadores, mientras que una advertencia publicada por Google Project Zero afirmaba una conclusión similar, con su investigación identificando a los actores de amenazas comerciales que actualmente exploran las vulnerabilidades de los coprocesadores en circulación libre.

Apple lanzó iOS 15.6.1 para parchar CVE-2022-32894, que soluciona una vulnerabilidad del kernel. Nuestra investigación muestra que la intención de este parche era mitigar el método utilizado por un atacante para saltar del coprocesador al procesador de aplicaciones. Hemos llamado ColdIntro a esta vulnerabilidad: una introducción no deseada desde el coprocesador de pantalla (DCP) al kernel del AP. Además, seguimos profundizando y encontramos otra vulnerabilidad que permite a los actores de amenazas escapar de forma similar desde el DCP al kernel del AP. Hemos llamado a esta vulnerabilidad recién parchada: ColdInvite.

¿Por qué es tan importante?

Es de esperarse que, a medida que siga evolucionando el panorama de las amenazas modernas, preveamos que en el futuro se produzcan más ataques a coprocesadores y vulnerabilidades de escape.

De acuerdo con nuestra política de divulgación responsable, publicaremos la prueba de concepto para CVE-2023-27930 después de que Apple publique un parche para mitigar esta amenaza.

¿Qué plataformas están afectadas?

ColdIntro: iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5a. generación y posteriores, iPad mini 4 y posteriores, y iPod touch (7a. generación) con iOS 15.6 (y versiones anteriores de iOS) instaladas.

ColdInvite: iPhone 12 (y modelos más recientes) con versiones de iOS 14 a 16.3.1 instaladas.

¿Cómo puedo protegerme contra esta amenaza?

Para parchar esta vulnerabilidad, Apple y Jamf recomiendan actualizar los dispositivos afectados a iOS 16.x.x. Jamf quiere dar las gracias al equipo de seguridad de productos Apple por parchar la vulnerabilidad rápidamente.

Se aconseja a los clientes de Jamf Pro que actualicen a la última versión de iOS sus flotas de dispositivos móviles en cuanto se publique. Los clientes con Jamf Protect tendrán versiones afectadas de iOS marcadas como altamente vulnerables.

¿Quiere profundizar en todos los detalles técnicos relacionados con ColdIntro y ColdInvite?

Si busca el documento de investigación completo, ¡su búsqueda ha terminado!

Jamf Laboratorios de amenazas
Jamf
El Laboratorio de amenazas de Jamf está formado por experimentados investigadores de amenazas, expertos en ciberseguridad y científicos de datos, con conocimientos que abarcan pruebas de penetración, monitoreo de redes, investigación de malware y evaluación de riesgos de apps, enfocados principalmente en los ecosistemas de Apple y de los dispositivos móviles.
Suscríbase al blog de Jamf

Acceda a las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf recibidas directamente en su bandeja de entrada.

Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.