Security Researcher lanza PoC con núcleo r/w para dispositivos Neural Engine con iOS 15 y macOS 12

El investigador de seguridad @_simo36 llamó la atención al publicar un tweet el viernes que parece contener una prueba de concepto (PoC) para una cadena de exploits llamada WeightBufs que proporciona capacidades de lectura y escritura de la memoria del kernel en algunas versiones de iOS y iPadOS 15 y macOS. 12

En el tuit, @_simo36 apunta a una página de GutHub que contiene no solo toda la información sobre el exploit, sino también las diapositivas de la presentación que dieron en POC2022.

El exploit en sí parece ser compatible con todas las versiones de iOS y iPadOS 15 en dispositivos Neural Engine (A11 y posteriores), pero no es compatible con iOS y iPadOS 16; pero iOS y iPadOS 15.6 corrigen un escape de sandbox que rompe la cadena de exploits utilizados para descifrar WeightBufs. Con eso en mente, la cadena completa de exploits actualmente solo está disponible para iOS y iPadOS 15.0-15.5 y macOS 12.0-12.4.

El problema anterior destaca uno de los principales problemas que afectan a los jailbreak en la actualidad, que es cómo los métodos se han vuelto más importantes que los propios exploits del kernel. Ninguna vulnerabilidad del kernel liberará el firmware actual de iOS o iPadOS, ya que Apple continúa fortaleciendo la seguridad del iPhone y el iPad. Debido a esto, los desarrolladores de jailbreak necesitan recursos adicionales, como omisiones y escapes de sandbox, solo para lograr esto. La lógica de navegación a través de todos estos mecanismos es la técnica.

La cadena de exploits @_simo36 explota al menos cuatro vulnerabilidades diferentes que ya se han informado a Apple, incluidas las siguientes:

CVE-2022-32845: Se agregó omisión de verificación de firma para model.hwx.
CVE-2022-32948: DeCxt::FileIndexToWeight() Leer OOB debido a que falta la verificación del índice de matriz.
CVE-2022-42805: ZinComputeProgramUpdateMutables() lectura aleatoria posible debido a un problema de desbordamiento de enteros
CVE-2022-32899: DeCxt::RasterizeScaleBiasData() Insuficiencia de búfer debido a un problema de desbordamiento de enteros.

@_simo36 actualmente dice que ha probado con éxito su cadena de exploits en las siguientes combinaciones de dispositivos y firmware:

iPhone 12 Pro (iPhone 13.3) con iOS 15.5
iPad Pro (iPad 8,10) con iPadOS 15.5
iPhone 11 Pro (iPhone 12.3) con iOS 15.4.1
MacBook Air (10.1 con chip M1) con macOS 12.4

Entonces, sabemos que todos se están haciendo la pregunta candente: «¿Se puede usar esto para escapar de la cárcel?» Y la respuesta simple a esta pregunta sería no, porque esta es solo una pieza de un rompecabezas más grande y mucho más trabajo. será necesario crear un jailbreak y ejecutarlo en los dispositivos de los usuarios finales.

Sin embargo, la prueba de concepto es un gran ejemplo de un truco magistral, y solo podemos esperar que ayude a resolver el rompecabezas más rápido, ya que varios equipos de hackers trabajan en segundo plano para desarrollar jailbreaks para iOS y iPadOS 15.

De hecho, algunos desarrolladores ya están buscando formas de incluirlo en sus proyectos, como el desarrollador de TrollStore @opa334, que podría usarlo para mejorar TrollNonce. Pero vale la pena señalar que TrollStore nunca admitirá nada más nuevo que el firmware que ya admite: