Alfie CG pubblica Write-Up su Trigon, un exploit del kernel deterministico basato su CVE-2023-32434 che non può fallire

Un’altra settimana, un’altra intrigante scrittura del giovane e talentuoso ricercatore di sicurezza hobbista @alfiecg_devChi Proprio questo fine settimana Pubblicato un post sul blog su un nuovo exploit del kernel deterministico chiamato Trigon che si basa su CVE-2023-32434, lo stesso bug che il descrittore di file del kernel (KFD) Exploit utilizzato con PUAF_SMITH ed è stato patchato in ios & ipados 16.5.1.

È importante notare subito che Trigon non supporta alcun nuovo firmware rispetto a KFD già, ed è perché si basa sulla stessa domanda CVE-2023-32434-quindi prima di porre la domanda “Wen Eta Jelbrek” secolare, tieni i tuoi cavalli. Il Trigon Exploit non si tradurrà in un jailbreak sugli ultimi dispositivi e firmware. Invece, si può pensare come un exploit per perfezionare gli strumenti esistenti per i telefoni più vecchi.

Ciò che rende Trigon così speciale, d’altra parte, è il fatto che è un deterministico Kernel Exploit. A differenza degli exploit del kernel a base di utilizzo fisico-After (PUAF), che possono essere particolarmente instabili durante o dopo il processo di sfruttamento, gli exploit del kernel deterministico non può fallire Durante il processo di sfruttamento e sono sostanzialmente più stabili dopo il fatto.

Ricorda come i componenti aggiuntivi installati tramite MacDirtyCow e Descriptor File Exploit tramite app per pacchetti come Misaka si tradurrebbero spesso in arresti anomali e instabilità del sistema casuali? Bene, questo è esattamente il motivo per cui. Non è stata colpa di Misaka, o il componente aggiuntivo, ma piuttosto la stabilità dello sfruttamento.

Con l’aiuto di altri ricercatori di sicurezza nella comunità, anche @STURNZZ, @TherealclarityE @kok3shidollAlfie ha trovato un modo completamente nuovo di sfruttare CVE-2023-32434 e il risultato è la prima istanza pubblica di tale bug e un exploit molto stabile.

Per quanto riguarda quali dispositivi sono supportati, è qui che le cose diventano un po ‘difficili. L’obiettivo di Alfie era un exploit senza fallimento e totalmente affidabile, e questo non è il caso di ogni singolo tipo di dispositivo e combinazione di firmware, quindi ci sono alcune limitazioni per lo sfruttamento per adattarlo nell’ambito previsto. Dopotutto, se non sarà affidabile al 100%, allora perché non utilizzare semplicemente il metodo Puaf_Smith già disponibile?

A12 e nuovi dispositivi (ARM64E) non sono supportati da Trigon a causa di vari motivi discussi nel post di Alfie a cui ti rifereremo se vuoi maggiori informazioni al riguardo. D’altra parte, il team Kaspersky dovrebbe pubblicare un’analisi approfondita su come hanno sfruttato il CVE-2023-32434 sui dispositivi ARM64E in futuro, che potrebbe cambiare la marea sul supporto di Trigon. Questi dispositivi possono anche utilizzare PUAF_SMITH.

Trigon supporta iOS 11 e prima su dispositivi non KTRR come A7-A9 (X) senza intoppi, ma il supporto per iOS 12 su questi dispositivi richiede il passaggio aggiuntivo dell’inizializzazione di TFP0 (una porta del kernel), quindi questo significa che non sarebbe deterministico sul primo go-onora, ma sarebbe il secondo. Il firmware più recente su questi dispositivi non sarebbe deterministico, in modo che gli utenti possano ricadere su strumenti basati su CheckM8.

I dispositivi A10 (x) sono supportati su iOS 12 e prima, tuttavia utilizzando un trucco trovato dal ricercatore della sicurezza Brandon Azad, leggendo i registri di hardware speciali, Aflie potrebbe rendere Trigon deterministico anche su iOS 12 per questi dispositivi. Per il firmware più recente, gli strumenti basati su CheckM8 hanno gli utenti coperti.

I dispositivi A11, come l’iPhone X, non sono supportati dal Trigon Exploit a causa di un panico del kernel, il che non è un problema perché questi dispositivi possono essere già rompicati con strumenti basati su CheckM8.

Alfie afferma che il Trigon Exploit è stato un progetto divertente e interessante che proveniva da “molti tentativi falliti in diverse strategie durante lo sviluppo”, e mentre sembra limitato nel suo campo di applicazione in questo momento, è un potente primitivo. Quando il team di Kaspersky rilascia la sua approfondita analisi di CVE-2023-32434, c’è la possibilità che Trigon possa essere adattato anche per lavorare su nuovi dispositivi, potenzialmente con le sue qualità deterministiche.

Se vuoi saperne di più sul nuovo exploit Trigon di Alfie CG, allora lo consigliamo Dai un’occhiata al loro articolo Per vedere di più su ciò che sta accadendo dietro le quinte.

Sei entusiasta di vedere cosa diventa del nuovo ex exploit di Alfie? Facci sapere nella sezione commenti in basso.