谷歌公佈iOS漏洞利用，可輕鬆實現越獄

谷歌Project Zero研究員Lan Beer這周兌現上週的承諾，公開了一個越獄漏洞，使用者可執行所有第三方提供的APP，該漏洞可在所有使用iOS 64位11.1.2系統的蘋果裝置生效。

本週一早上，Beer 分享了漏洞細節“tfp0”，在這裡，tfp0代表 task for pid 0，或者核心任務埠，使用者就有許可權全面控制作業系統的核心。

研究員在10月向蘋果公司報告了該漏洞，蘋果公司修復了該漏洞，並於12月2日釋出iOS11.2版本。

另一位安全研究員確認該漏洞同樣可在執行 iOS 11.1.2.系統的Apple TvOS 11.x 和 TV 4K 上執行。

更糟糕的事情是 因為蘋果的iOS 移動作業系統和macOS 桌面作業系統共用同一套程式碼庫，因此macOS 同樣受到該漏洞的影響。

Lan Beer 稱經過測試，該漏洞同樣也可在Mac Book Air 5.2 的macOS10.13系統上執行。蘋果隨後在macOS 10.13.1版本中修復該漏洞。

早期作業系統的版本同樣受到該漏洞影響，基本上將核心完全暴露給了作業系統，而這一點這是越獄的關鍵點。

雖然我們很久都沒聽說有越獄了，但Beer研究員的漏洞利用將成為 iOS 11越獄的基礎，允許iPhone和iPad使用者通過Apple所限制的app中，下載第三方定製作業系統。

如果iOS 11.1.2越獄成功，使用者可通過iTunes將系統從iOS 11.2降至iOS 11.1.2，因為Apple 仍在使用改作業系統。

來源：hackernews

本文由看雪翻譯小組 哆啦咪 編譯

---

用指令碼恢復NSA黑客工具篡改的事件日誌

安全研究人員找到了一種方法來扭轉NSA黑客漏洞利用工具的效果---工具會從機器中刪除事件日誌。

Fox-IT在上週釋出了一個Python指令碼，指令碼可以將DanderSpritz中的“eventlogedit” 利用程式中刪除的事件日誌條目恢復出來。黑客組織Shadow Brokers早先將NSA的漏洞利用程式釋出在網路上，而其中就包含DanderSpritz。

Fox-IT表示，他們發現了DanderSpritz日誌清理工具中的一個漏洞，他們發現這個工具並沒有真正刪除事件的日誌條目，而只是將它們重新引用，合併條目。

預設情況下，DanderSpritz會將一個或多個“含有入侵記錄”日誌條目與其之前“乾淨”的日誌條目合併。

當Windows事件日誌應用程式讀取一個篡改的日誌檔案時，它將讀取“乾淨”的版本，檢視結束標記，並忽略未引用的“不良”事件的所有內容。

這個漂亮的技巧可以讓攻擊者在受感染機器上隱藏惡意行為，使用Fox-IT新的danderspritz-evtx指令碼，調查人員現在可以重建原始日誌檔案並追蹤攻擊者的痕跡。

該指令碼可以在github上得到，並且是調查受感染機器的人員的必備工具。

由於DanderSpritz已經洩漏了半年多，這意味著目前不僅僅是NSA的操作人員在使用它，一些網路犯罪組織和惡意軟體家族可能已經將這一技術整合到自己兵器庫中“eventlogedit”的核心部分。

DanderSpritz

DanderSpritz是一個漏洞利用框架，除清理日誌功能外，還包括許多其他的功能。 NSA通常將它與FuzzBunch（漏洞利用框架）結合起來一起使用。

NSA的工作人員使用FuzzBunch在目標計算機上載入和執行exp，隨後使用DanderSpritz來查詢和提取敏感資料，傳播到附近的計算機，並消除入侵的痕跡。

Kudelski Security的 研究員Francisco Donoso 在今年五月寫了篇關於DanderSpritz的文章，稱只需把它想象成Metasploit Meterpreter的國家版本，但具有自動化的反病毒檢測和規避功能，以及大量（以往）無法檢測到的工具來轉儲密碼，收集資訊。

來源：bleepingcomputer

本文由看雪翻譯小組 fyb波編譯