De mysteries achter ColdIntro en ColdInvite: TL;DR -editie

Kom meer te weten over de ontdekking van een nieuwe bedreigingsvector op de iPhone waarmee aanvallers beveiligingsbeperkingen kunnen omzeilen door misbruik te maken van onvoldoende beveiligde co-processors, waarbij ze toegang krijgen om de iOS-kernel verder aan te tasten.

May 22 2023 op

Jamf Threat Labs

Person standing on frozen ice lake that is cracking beneath their feet

Een kwetsbaarheid waarvan werd aangenomen dat deze al in 2022 op was gepatcht door Apple is mysterieuzer dan onderzoekers aanvankelijk dachten. De patch beperkte een kwetsbaarheid die in het wild werd uitgebuit als onderdeel van een aanvalsketen gericht op coprocessors.

Tijdens het analyseren van ColdIntro (CVE-2022-32894) ontdekten we nog een kwetsbaarheid die aanvallers in staat stelt om te ontsnappen aan een coprocessor en geheugencorruptie te initiëren in de Application Processor (AP). Deze kwetsbaarheid werd geïdentificeerd door Jamf, en beveiligingsonderzoeker 08tc3wbb wordt genoemd voor de ontdekking - ColdInvite (CVE-2023-27930).

ColdInvite treft iPhone-gebruikers door gebruik te maken van een kwetsbaarheid in bepaalde iOS-versies.

Wat zijn ColdIntro en ColdInvite?

Een kwetsbaarheid die een aanvaller in staat stelt om andere kwetsbaarheden binnen de AP-kernel uit te buiten. Hoewel het op zichzelf niet voldoende is voor een volledige overname van het apparaat, kan deze kwetsbaarheid worden misbruikt om de coprocessor te gebruiken om lees-/schrijfrechten voor de kernel te verkrijgen, waardoor een kwaadwillende actor bij zijn uiteindelijke doel komt om het apparaat volledig te compromitteren.

Na een analyse van de historische gegevens hebben we tekenen waargenomen van aanvallen die gericht waren op coprocessors, terwijl een advies uitgebracht door Google Project Zero een soortgelijke conclusie bevestigde, met hun onderzoek dat commerciële bedreigingsactoren identificeerde die momenteel kwetsbaarheden in coprocessors in het wild onderzoeken.

Apple heeft iOS 15.6.1 uitgebracht met een patch voor CVE-2022-32894, waarmee een kwetsbaarheid in de kernel wordt verholpen. Uit ons onderzoek blijkt dat de bedoeling van deze patch was om de methode die een aanvaller gebruikt om van de coprocessor naar de applicatieprocessor te springen, te beperken. We hebben deze kwetsbaarheid ColdIntro genoemd: een ongewenste introductie van de Display Co-Processor (DCP) naar de AP-kernel. Verder zijn we dieper gaan graven en hebben we een andere kwetsbaarheid gevonden waarmee bedreigingsactoren op vergelijkbare wijze kunnen ontsnappen van de DCP naar de AP-kernel. We hebben de nieuwe gepatchte kwetsbaarheid ColdInvite genoemd: ColdInvite.

Waarom is het zo belangrijk?

We verwachten dat naarmate het moderne bedreigingslandschap zich verder ontwikkelt, er in de toekomst meer co-processoraanvallen en ontsnappingskwetsbaarheden te zien zullen zijn.

In overeenstemming met ons beleid voor verantwoorde openbaarmaking geven we het proof of concept voor CVE-2023-27930 vrij nadat Apple een patch heeft uitgebracht om deze bedreiging te beperken.

Welke platforms worden beïnvloed?

ColdIntro: iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad 5e generatie en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie) met iOS 15.6 (en oudere iOS-versies) geïnstalleerd.

ColdInvite: iPhone 12 (en nieuwere modellen) met versies van iOS 14 tot en met 16.3.1 geïnstalleerd.

Hoe kan ik mezelf beschermen tegen deze bedreiging?

Om dit probleem te verhelpen, raden Apple en Jamf aan om de getroffen apparaten bij te werken naar iOS 16.x.x. Jamf wil graag het Apple Product Security-team bedanken voor het snel patchen van de kwetsbaarheid.

Klanten met Jamf Pro wordt geadviseerd om te upgraden naar de nieuwste versie van iOS op hun mobiele vloot zodra deze wordt uitgebracht. Klanten met Jamf Protect krijgen getroffen iOS-versies gemarkeerd als zeer kwetsbaar.

Wil je je verdiepen in alle technische details met betrekking tot ColdIntro en ColdInvite?

Als je op zoek bent naar het volledige onderzoeksdocument, dan is je zoektocht voorbij!

Schrijf je in voor de Jamf blog

Ontvang markttrends, Apple-updates en Jamf-nieuws rechtstreeks in je inbox.

Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.