Jamf Blog
Person standing on frozen ice lake that is cracking beneath their feet
Mai 22, 2023 Par Jamf Threat Labs

Le mystère de ColdIntro et ColdInvite : édition abrégée

Un nouveau vecteur de menace permet à des pirates de contourner les mesures de protection des iPhone en exploitant des coprocesseurs sous-protégés, puis en utilisant cette base pour compromettre le noyau iOS. Nous vous disons tout sur sa découverte.

Une vulnérabilité que l'on croyait corrigée par Apple depuis 2022 s'avère plus mystérieuse que les chercheurs ne le pensaient au départ. Elle était à l'époque exploitée dans le cadre d'une chaîne d'attaques ciblant les vulnérabilités des coprocesseurs.

Au cours du processus d'analyse de ColdIntro (CVE-2022-32894), nous avons découvert une autre vulnérabilité qui permet aux attaquants de s'échapper d'un coprocesseur et d'initier une corruption de la mémoire dans le processeur d'application (AP). Cette vulnérabilité, baptisée ColdInvite (CVE-2023-27930), a été identifiée par Jamf et sa découverte a été attribuée au chercheur en sécurité 08tc3wbb.

ColdInvite cible les utilisateurs d'iPhone en exploitant une vulnérabilité présente dans certaines versions d'iOS.

Que sont ColdIntro et ColdInvite ?

Ces deux CVE désignent une vulnérabilité qui permet à un adversaire d'exploiter d'autres vulnérabilités au sein du noyau AP. Bien qu'elle ne suffise pas à elle seule à prendre le contrôle de l'appareil, elle peut servir de tremplin pour exploiter le coprocesseur et ainsi obtenir des autorisations de lecture/écriture sur le noyau. Pour un pirate, c'est un puissant moyen d'atteindre son objectif ultime, à savoir la compromission totale de l'appareil.

L'analyse des données historiques a révélé des signes d'attaques ciblant les coprocesseurs, et un avis publié par Google Project Zero a abouti à une conclusion similaire. D'après les recherches de cette équipe, des groupes malveillants professionnels recherchaient actuellement des vulnérabilités au niveau des coprocesseurs.

Apple a sorti iOS 15.6.1 pour corriger la CVE-2022-32894 et ainsi combler cette faille du noyau. Nos recherches montrent que ce correctif portait spécifiquement sur la méthode employée pour passer du coprocesseur au processeur d'application. Nous avons baptisé cette vulnérabilités ColdIntro : une injection indésirable du coprocesseur d'affichage (DCP) vers le noyau AP. Nous avons poursuivi nos recherches et mis au jour une autre vulnérabilités qui permet, elle aussi de passer du DCP vers le noyau de AP. Nous avons donné le nom de ColdInvite à cette vulnérabilité récemment corrigée.

Pourquoi est-ce aussi important ?

Avec les évolutions du paysage des menaces modernes, nous anticipons de nouvelles attaques visant le coprocesseur et les vulnérabilités d'évasion.

Conformément à notre règle de divulgation responsable, nous publierons la preuve de concept de CVE-2023-27930 après qu'Apple aura publié un correctif pour atténuer cette menace.

Quelles sont les plateformes concernées ?

ColdIntro : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures, et iPod Touch (7e génération) avec iOS 15.6 ou une version antérieure.

ColdInvite : iPhone 12 (et modèles plus récents) avec iOS versions 14 à 16.3.1.

Comment puis-je me protéger de cette menace ?

Pour corriger cette vulnérabilité, Apple et Jamf recommandent de mettre à jour les appareils concernés vers iOS 16.x.x. Jamf tient à remercier l'équipe de sécurité d'Apple pour la rapidité avec laquelle elle a corrigé la vulnérabilité.

Nous conseillons aux clients Jamf Pro de passer leurs flottes mobiles à la dernière version d'iOS dès sa sortie. Les clients de Jamf Protect verront les versions affectées d'iOS signalées comme hautement vulnérables.

Vous voulez explorer tous les détails techniques liés à ColdIntro et ColdInvite ?

Si vous cherchez le document de recherche complet, c'est ici !

Jamf Threat Labs
Jamf
Jamf Threat Labs réunit des chercheurs expérimentés dans le domaine des menaces, des experts en cybersécurité et de scientifiques des données. Leurs vastes compétences englobent les tests de pénétration, la surveillance des réseaux, la recherche de logiciels malveillants et l'évaluation des risques liés aux applications. Leur travail est principalement axé sur les écosystèmes Apple et mobiles.
S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.