这是一份详细的关于一次复杂攻击的报告，攻击目标为 iPhone 设备。以下是关于这次攻击的主要细节和发现：

1. 攻击对象和时间范围： 该攻击已经存在四年多，影响数十甚至数千部 iPhone 设备，其中包括卡巴斯基安全公司的员工。攻击曝光于六月，感染了俄罗斯外交使团和使馆内的工作人员的 iPhone。

2. 攻击手段： 攻击者利用了四个零日漏洞，其中包括 CVE-2023-32434、CVE-2023-32435、CVE-2023-38606 和 CVE-2023-41990。这些漏洞存在于 iPhone、Mac、iPod、iPad、Apple TV 和 Apple Watch 中。

3. 攻击方式： 恶意软件通过 iMessage 文本传播，利用复杂的漏洞链安装在设备上，而无需接收者采取任何行动。一旦感染，设备就会安装间谍软件，该软件可录音、拍照、获取地理位置等，并将敏感数据传输到攻击者的服务器。

4. 硬件功能的发现： 最引人注目的发现是攻击者利用未记录的硬件功能中的漏洞，实现前所未有的访问级别。这个硬件功能的性质和复杂性表明攻击者拥有高级技术能力。这个硬件功能可能是苹果工程师或工厂用于调试或测试目的，或者是被错误地包含在内。

5. 攻击的归因问题： 目前还不清楚攻击者的确切目的是什么，以及他们如何了解这一硬件功能。攻击的归因具有挑战性，目前尚未最终将这次网络攻击归因于任何已知的威胁行为者。

6. 漏洞利用链的复杂性： 攻击使用了多个阶段的漏洞利用链，包括针对 TrueType 字体、iOS 内核和 Safari 的漏洞。攻击的最终目标是获得 root 权限，并在设备上运行间谍软件。

7. 防御措施： 苹果已经修复了所有四个零日漏洞，并发布了相应的补丁。

漏洞利用链：

这份图片描述了一系列漏洞利用链，被攻击者用于感染并控制 iPhone 设备。以下是对每个阶段的简要解释：

1. 发送恶意 iMessage 附件：攻击者通过 iMessage 发送恶意附件，这个附件会由应用程序处理，但用户看不到任何迹象。

2. TrueType 字体漏洞利用（CVE-2023-41990）：通过利用未记录的 TrueType 字体指令 ADJUST 中的漏洞，攻击者执行远程代码。这个漏洞自 90 年代初就存在，被补丁删除。

3. JavaScriptCore 漏洞利用：利用面向返回/跳转的编程，通过 NSExpression/NSPredicate 查询语言编写多个阶段的代码，修补 JavaScriptCore 库环境执行 JavaScript 编写的权限升级漏洞。

4. XNU 内存映射系统调用漏洞利用（CVE-2023-32434）：通过利用 XNU 内存映射系统调用中的整数溢出漏洞，攻击者从用户级别获取对设备整个物理内存的读/写访问权限。

5. 硬件内存映射 I/O (MMIO) 寄存器漏洞利用（CVE-2023-38606）：使用硬件内存映射 I/O (MMIO) 寄存器来绕过页面保护层 (PPL)，此问题已得到缓解。

6. JavaScript 漏洞执行：利用所有漏洞后，JavaScript 漏洞可以执行任何攻击者想要的操作，并运行间谍软件。攻击者选择启动 imagent 进程并注入有效负载，以清除设备中的漏洞利用工件，或者以不可见模式运行 Safari 进程并将其转发到下一阶段的网页。

7. Safari 漏洞利用（CVE-2023-32435）：使用 Safari 漏洞执行 shellcode。

8. Shellcode 执行：Shellcode 以 mach 目标文件的形式执行另一个内核漏洞利用。这段代码专注于内核内存的解析和操作。

9. 获得 root 权限：漏洞利用程序获得 root 权限，并继续执行负责加载间谍软件的其他阶段。

这是一个非常复杂的攻击链，攻击者巧妙地利用了多个漏洞，包括在硬件和软件层面，最终实现了对受害者设备的完全控制。

这里有大会视频——三角测量操作：攻击研究人员的 iPhone 时你会得到什么

视频链接放这里：https://media.ccc.de/v/37c3-11859-operation_triangulation_what_you_get_when_attack_iphones_of_researchers#t=235

或者点击下面视频直接观看（英文）