一、概述
近期,我們的第三方合作伙伴Syndis發現我們在Dropbox使用的Apple軟件中存在漏洞,該漏洞不僅影響macOS,還影響當時最新版本的Safari,因此這些漏洞屬于0 Day漏洞。當這些漏洞被組合利用時,攻擊者可以通過誘導受害者訪問特制的網頁,實現在受害者的計算機上運行任意代碼。
我們向Apple通報了這些漏洞,很快就得到了他們的確認。Apple在大約一個月內發布了針對這些漏洞的修復程序,這比“90天內修復”的行業標準要好很多。這些漏洞被指定了CVE編號,并且我們與Syndis共同驗證了漏洞已經成功修復。本文將主要講解這些漏洞的詳細信息,及修復補丁的驗證過程。
二、Safari自動下載和安裝磁盤映像漏洞(CVE-2017-13890)
在CoreTypes中,定義了一個安全的統一類型標識符(UTI)列表,該列表將由Safari自動打開。上述內容可以在LSRiskCategorySafe中找到。我們特別感興趣的是其中的com.real.smil。
如果我們使用Isregister檢查Launch Services數據庫,我們將會看到它在CoreTypes中定義,其描述為“同步多媒體集成語言”,并且似乎與Real Player媒體應用程序相關聯。有許多文件擴展名都與這個UTI相關聯,其中包括“.smi”。
$ touch a.smi
$ mdls a.smi | grep -e "kMDItemContentType\s\|kMDItemKind"
kMDItemContentType = "com.real.smil"
kMDItemKind = "Self Mounting Image"
我們可以看到,“.smi”文件具有com.real.smil內容類型,但它被描述為“自掛載映像”(Self Mounting Image)。這是因為在macOS 10.12.6上,Disk Image Mounter應用程序也將自身與這一擴展名關聯,并將自身列為該擴展名文件的默認處理程序。Disk Image Mounter應用程序為“.smi”擴展名指定了com.apple.disk-image-smi這一UTI,但CoreTypes中定義的com.real.smil具有優先權限。
該漏洞已被分配CVE-2017-13890,Apple官方通告參見:https://support.apple.com/en-us/HT208692
CoreTypes
適用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6
影響:在對一個惡意制作的網頁進行處理的過程中,可能會導致安裝磁盤映像。
修復方法:通過增加限制條件,修復了邏輯問題。
CVE-2017-13890:Apple、Syndis的Theodor Ragnar Gislason
三、掛載磁盤映像導致應用程序啟動漏洞(CVE-2018-4176)
Bless實用程序用于設置卷的可啟動性以及啟動磁盤選項。其中,一個有趣的選項是–openfolder,可用于指定在系統安裝卷時在Finder中打開的文件夾。盡管描述是這樣說的,但如果–openfolder的參數指向了一個可加載的包,并且這些包時經過打包且文件名以“.bundle”結尾的應用程序,那么實際上將會啟動指定的應用程序,而沒有執行打開Finder的操作。這就意味著,用戶可以通過訪問Safari中的網頁來自動啟動應用程序。然而,這一漏洞對攻擊者來說,其可用性仍然有限,因為攻擊者無法借助這一漏洞運行任意代碼。Gatekeeper僅允許運行從應用商店下載的應用程序,以及由已知開發者簽名的應用程序,從而防范此類共計。Launch Services在啟動應用程序時將會進行檢查,并產生如下錯誤提示:
為了使這條漏洞利用鏈有效,我們需要繞過Gatekeeper,以避開這種檢查。
該漏洞已被分配CVE-2018-4176,Apple官方通告參見:https://support.apple.com/en-us/HT208692
磁盤映像
適用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.3
影響:掛載惡意磁盤映像可能會導致啟動應用程序。
修復方法:通過增加限制條件,修復了邏輯問題。
CVE-2018-4176:Syndis的Theodor Ragnar Gislason
四、Gatekeeper繞過漏洞(CVE-2018-4175)
我們需要注意上面的錯誤提示:“evil無法打開,因為它來自一個身份不明的開發人員”,與此同時,我們還注意到Safari下載的磁盤映像中有evil。Syndis隨后注意到了幾件事:
1、他們可以啟動經過簽名的應用程序包的副本,例如我們磁盤映像中的Terminal.app。
2、如果修改Bundle的Info.plist,并不會使簽名無效。
借助Info.plist,可以指定使用應用程序打開哪些擴展名的文件,也可以注冊新的文件擴展名,這樣一來就能夠確保該應用程序作為默認的處理程序。在啟動應用程序后,Launch Services會在數據庫中注冊應用程序和這些文件擴展名。我們可以使用Isregister命令查看:
...
--------------------------------------------------------------------------------
Container mount state: mounted
bundle id: 2740
Mach-O UUIDs: 67FFA762-AB52-31F0-AC80-E72008760B13
sequenceNum: 2740
FamilyID: 0
PurchaserID: 0
DownloaderID: 0
installType: 0
appContainer: #
dataContainer: #
path: /Volumes/bundle/Terminal.app
| 
