El equipo de Kaspersky explica cómo descubrieron una derivación KTRR para dispositivos arm64e en la conferencia 37c3

Precisamente a la hora señalada, los representantes de Kaspersky que se habían comprometido a presentar los resultados de su investigación y demostrar una derivación de rootkit a nivel de núcleo (KTRR) para dispositivos ARM64E, incluidos aquellos equipados con procesadores A12-A16 y potencialmente también A17, cumplieron su promesa. promesa durante la sesión de hoy en el estimado 37º Congreso de Comunicación del Caos (37c3).

Durante el 37º Congreso de Comunicación del Caos, el equipo de investigación de Kaspersky reveló su descubrimiento de una vulnerabilidad en el mecanismo de ejecución de código a nivel de kernel en dispositivos arm64e, a la que se refirieron como “KTRR Bypass”.

A continuación daremos una breve descripción general de lo que llevó al equipo a descubrir lo que hicieron, pero si prefiere ver la presentación usted mismo, ciertamente puede hacerlo.

El colectivo antes mencionado, formado por personas estimadas como Boris Larin (@oct0xor), Leonid Bezvershenko (@bzvr\_) y Georgy Kucherin (@kucher1n), contó una narrativa intrigante sobre su encuentro con software malicioso y la posterior utilización de meticulosas metodologías de triangulación e ingeniería inversa para obtener una mayor comprensión de su naturaleza.

Al notar interacciones inusuales entre sus dispositivos iOS y la conexión Wi-Fi, se despertó la curiosidad de nuestro equipo, lo que nos llevó a realizar más investigaciones. Finalmente, descubrimos una vulnerabilidad de seguridad que podría explotarse mediante una transmisión dañina de iMessage.

Los perpetradores parecían esforzarse por ocultar sus actividades eliminando cualquier evidencia relacionada con iMessage y los recursos asociados que podrían haber llevado al descubrimiento de sus nefastas acciones. Sin embargo, al hacerlo, cometieron un imperativo descuido al no erradicar todo vestigio de material incriminatorio.

El equipo de Kaspersky estableció un servidor para capturar y posteriormente decodificar los datos de comunicación interceptados mediante un examen forense, lo que les permitió obtener las direcciones de correo electrónico de los perpetradores y obtener una visión más profunda de la mecánica de la intrusión.

Se puede ingresar a la derivación de la región de solo lectura de texto del kernel (KTRR), una ruta evasiva que elude las medidas de protección implementadas por Apple para restringir el acceso no autorizado a la memoria del kernel dentro de esta área restringida, permitiendo así la utilización de dicha derivación junto con otros exploits. como parte de una secuencia de explotación integral que conduce a un esfuerzo exitoso de jailbreak.

Una presentación realizada por el equipo de investigación de Kaspersky Lab durante el 37º Congreso de Comunicación del Caos, centrándose en una técnica para eludir el mecanismo de rotación de raíz confiable utilizado en ciertos sistemas informáticos para garantizar la seguridad y evitar el acceso no autorizado.

La derivación de Kihei Terminal Repository Removal (KTRR) es una solución basada en hardware, lo que la hace inmune a las mejoras basadas en software implementadas por Apple. En consecuencia, los esfuerzos del gigante tecnológico se limitan a aplicar soluciones temporales o paliativos, como vendajes, para ocultar la vulnerabilidad. Sin embargo, es probable que estas medidas resulten insuficientes para disuadir a los individuos persistentes que buscan desarrollar y explotar técnicas de jailbreak a largo plazo.

La derivación de KTRR utiliza componentes de hardware, pero no debe confundirse con un exploit de bootrom basado en hardware como checkm8. Sin embargo, debido a su dependencia del hardware, la derivación KTRR ofrece una solución duradera para crear jailbreaks repetidos en los dispositivos afectados.

Parece que Apple puede realizar ajustes en su diseño de hardware para futuros modelos de iPhone para evitar la explotación de la vulnerabilidad Kernel Task Remote Read (KTRR) a través del método de derivación previamente identificado. Sin embargo, estas modificaciones no resolverán retroactivamente los problemas de seguridad presentes en los dispositivos existentes, lo que hace que este problema sea particularmente significativo.

Las iteraciones más recientes de software han abordado eficazmente el singular exploit delineado minuciosamente por el grupo de investigación de Kaspersky hoy. No obstante, las personas que utilizan dispositivos que caen dentro del ámbito de dicha vulnerabilidad o sistema operativo pueden aprovechar el instrumento de acceso público del equipo para determinar si su equipo ha sucumbido al mismo ataque que el colectivo de investigación experimentó de primera mano.

Hasta el momento, el bypass KTRR del equipo de Kaspersky no se ha revelado públicamente; sin embargo, se prevé que esto ocurra en un futuro próximo. La omisión abarca todas las versiones de firmware inferiores a iOS y iPadOS 16.6, incluidos iOS y iPadOS 16.5.1 y versiones anteriores. Además, funciona exclusivamente en dispositivos arm64e, específicamente aquellos con procesadores A12-A16, con posible compatibilidad para chipsets A17, aunque la confirmación sobre este último aún está pendiente.

Sería intrigante observar el resultado del proyecto de circunvalación propuesto para la KTRR, ya que ofrece la posibilidad de ampliar nuestras oportunidades para actividades relacionadas con las prisiones más allá de unos pocos años más, precisamente en un momento en el que muchos se habían resignado a abandonar la esperanza.

*️⃣ Enlace fuente: