Le malware NSO Zero-Click ponctionne votre iPhone avec une unité centrale virtuelle encodée dans une image technologique de l'an 2000.



Si vous êtes un passionné de technologie, vous avez probablement entendu parler des logiciels malveillants "en un clic". Il s'agit d'un phénomène assez effrayant en soi : un clic sur un lien soigneusement conçu dans un e-mail ou un autre message texte et vous êtes infecté. Les logiciels malveillants en un clic existent depuis longtemps, mais il existe aujourd'hui quelque chose d'encore pire. Il s'agit des logiciels malveillants à zéro clic et c'est exactement ce qu'était l'exploit "FORCEDENTRY" du groupe NSO.







FORCEDENTRY est probablement l'exploit utilisé pour attaquer les iPhones de neuf employés du Département d'État américain en Ouganda. Il semble également qu'il ait déjà été utilisé lors de la campagne mondiale de logiciels espions Pegasus au début de l'année. La faille spécifique utilisée par l'exploit a été fermée grâce à une mise à jour d'Apple en septembre, mais les détails sur le fonctionnement exact de l'exploit ne sont révélés que maintenant grâce à un billet de blog du projet Zero de Google. Même si vous n'êtes pas un utilisateur d'iPhone, attachez votre casque, parce que cette affaire est sur le point d'aboutir à une situation délicate.







Du point de vue de l'utilisateur, il suffisait de recevoir un SMS pour être touché par FORCEDENTRY. Il n'était pas nécessaire de cliquer sur un lien, ni d'accepter ou d'approuver quoi que ce soit. Une fois que l'utilisateur a reçu le message, il est infecté par le malware Pegasus, qui permet à l'utilisateur distant de voler des messages, des photos, des e-mails, des appels et même d'enregistrer secrètement les utilisateurs.



Ce qui rend cette histoire si fascinante, c'est la façon dont l'exploit a réellement fonctionné. En surface, il est facile de dire que les attaquants ont envoyé un faux GIF qui leur a permis d'obtenir l'exécution du code à distance. Mais cela sous-estime largement la sophistication de ce piratage. Le "faux GIF" était en fait un PDF. Les PDF peuvent contenir du Javascript, et l'exécution non sécurisée de Javascript dans les PDF a été à l'origine de nombreux exploits liés aux PDF dans le passé.



Ce n'est pas ce qui s'est passé ici. Au lieu de cela, le PDF contenait un flux de données au format JBIG2. JBIG2 est un format d'image peu connu datant de 2000 et créé pour les télécopieurs et les scanners. Plutôt que de compresser les données d'image comme le format JPEG, JBIG2 tente de compresser intelligemment les documents en remplaçant chaque instance de glyphes similaires (c'est-à-dire de caractères individuels) par une seule instance de chaque glyphe. Il ne fait pas d'OCR ; il ne comprend pas que les images sont du texte. L'algorithme recherche simplement les caractères d'apparence similaire et les remplace par la première instance de ce caractère.



Alors comment passe-t-on de "l'analyse d'une image pour l'affichage" à "l'exécution de code à distance" ? Le diable se cache dans les détails du fonctionnement du format JBIG2. JBIG2 a des problèmes en tant que format de compression. Les caractères des documents numérisés au format JBIG2 peuvent être remplacés par des caractères d'apparence similaire, comme un 6 transformé en 8, par exemple, ce qui constitue un réel problème pour les documents médicaux ou les plans de construction. Ce problème a conduit à son interdiction en Allemagne et en Suisse. Le format JBIG2 comporte toutefois des formats "sans perte" et "avec moins de perte", et c'est ce dernier qui est à l'origine de cette faille de sécurité.



Dans le cadre du format JBIG2 less-lossy, les flux peuvent contenir des instructions permettant de manipuler les données d'image à l'aide d'opérateurs logiques tels que AND, OR, XOR ou XNOR. En utilisant ces opérateurs, vous pouvez facilement former une porte NAND, ce qui signifie que vous pouvez effectuer toutes les opérations informatiques imaginables, mais JBIG2 est un format linéaire - l'analyseur d'image d'Apple va lire le flux de données une fois et une seule.





"Construction d'une porte NAND à partir de portes AND et NOR. Image : Projet Zéro"



Le moyen de contourner ce problème est d'exploiter une simple vulnérabilité de dépassement de tampon dans la bibliothèque open-source Xpdf qu'Apple utilise pour décoder les PDF. Ce dépassement de tampon est le cœur de l'exploit, mais ce n'est pas la partie la plus intelligente. Après avoir effectué le dépassement de tampon, le flux JBIG2 est libre d'écrire dans une mémoire arbitraire. À l'aide des opérations binaires intégrées au format JBIG2, les pirates construisent une petite unité centrale virtuelle dans la mémoire du téléphone, puis l'utilisent pour échapper à la sandbox d'Apple et pirater le téléphone.



Au cas où ce ne serait pas clair, répétons-le : le format JBIG2 n'a pas de capacités de script, mais combiné à la faille de débordement de tampon dans Xpdf, il a la capacité d'"émuler des circuits de portes logiques arbitraires opérant sur une mémoire arbitraire". Il n'est pas possible d'exécuter du code à l'intérieur d'une image JBIG2, mais il est possible de créer un processeur virtuel en RAM et d'exécuter du code sur ce processeur.



Selon les mots de Google, les pirates "définissent une petite architecture informatique avec des caractéristiques telles que des registres et un additionneur et un comparateur 64 bits complets, qu'ils utilisent pour rechercher dans la mémoire et effectuer des opérations arithmétiques." Le post continue en disant que "ce n'est pas aussi rapide que Javascript, mais c'est fondamentalement équivalent sur le plan informatique", et tout cela est généré à partir d'un seul passage de décompression à travers un flux de données d'image JBIG2.



Project Zero n'a pas expliqué les détails de la façon dont les opérations du processeur virtuel échappent à la sandbox d'Apple autour du processus de transcodage d'image, mais quel que soit cet exploit, il n'est certainement pas aussi incroyable que ce que les pirates ont fait pour aller aussi loin en premier lieu.



