系统安全

CVE-2019-8565是用户态上的一个条件竞争漏洞,在macOS 10.14.3及以下版本存在。该漏洞存在于Feedback Assistant的service程序fbahelperd,通过child进程竞争重用parent进程的PID,绕过安全检查,导致在特权下执行脚本命令。
2019年2月,FreeBSD项目发布了一份关于文件描述符处理可能存在漏洞的报告。该报告进一步指出,此错误可能导致本地权限提升,以获得root权限或越权逃逸。但是,报告的作者并没有提供概念验证。
实际上利用DYLD_INSERT_LIBRARIES环境变量是macOS上非常知名的一种注入技术。,系统会在程序加载前加载我们在该变量中指定的任何dylib,实际上就是将dylib注入应用程序中。
CVE-2019-8530是用户态上的一个XPC逻辑漏洞,在macOS 10.14.3及以下版本存在。该漏洞存在于TimeMachine的diagnosticextensions扩展模块之中,通过构造恶意img文件,能够以root权限运行任意shell命令。
Windbg的前身是NTSD(一个命令行调试器,NTSD以前都随系统发布,Vista之后这个程序被放到Debuggers包里面去了),发行包里还有cdb.exe,可以看做是命令行的Windbg。
招聘
狮桥成立于2012年4月,总部位于北京,2014年9月,狮桥引入控股股东美国知名私募基金贝恩资本(Bain Capital)。公司致力于以技术驱动、联结共生,提升商用车全周期多场景价值,现已成为中国最大的商用车智慧服务平台。
Windows操作系统在判断进程镜像FILE_OBJECT的位置时存在不一致性,这就会影响非EDR终端安全解决方案在检测恶意进程代码时的能力。也正是这种不一致性,促使McAfee研发了出了一中新型的后渗透绕过技术,我们将这种技术称之为“进程重镜像”。
继ptrace注入之dlopen/dlsym注入第三方so库到远程进程中后,本次探索的是shellcode 的注入。
该作者是国外著名的恶意软件研究安全员,在漏洞爆发之初就开始投入到该漏洞的研究过程中。大概在漏洞公开一周后,他就在twitter上开始分享自己的研究成果,知道5月31号github上公开了蓝屏poc,他才在公开了自己的研究报告。
在这篇文章中,我们将对漏洞CVE-2019-8603进行分析。简而言之,这是一个存在于Dock以及com.apple.uninstalld服务中的堆越界读取漏洞,该漏洞将导致攻击者调用CFRelease并在macOS上实现Safari浏览器沙盒逃逸,最终获取到目标设备的root权限。