[Информационная безопасность] Zero Click уязвимость в Apple MacOS Mail (перевод)
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Zip Zero-Click TL;DRЯ обнаружил Zero-Click уязвимость(не требующая от пользователя никаких дополнительных действий, например, нажатия, скачивания и т.п.) в Apple Mail, которая позволяла добавлять или изменять любой произвольный файл в среде местной песочницы. Эта уязвимость могла привести к различным неприятностям, включая несанкционированное раскрытие конфиденциальной информации третьим лицам. Злоумышленник мог изменить конфигурацию почты жертвы, например, переадресацию почты, что позволяет захватить другие учетные записи жертвы с помощью сброса пароля. Эта уязвимость могла быть использована для изменения настроек пользователя, чтобы он сам распространял вирус, общаясь с другими пользователями. Apple исправила эту уязвимость в июле 2020 года. ИсторияОднажды я изучал Apple Bug Bounty и начал думать, какие атаки могут быть запущены без действий пользователя. Первой идеей, очевидно, был Safari. Я немного поиграл с Safari, но не нашел интересных зацепок. Следующее, что у меня было на уме — это Mail или iMessage. Я сосредоточился на Mail, потому что подозревал, что устаревшие функции скрываются в старом коде. Я начал экспериментировать с почтой, отправляя тестовые сообщения и вложения, пытаясь найти аномалию по сравнению с обычной отправкой и получением электронной почты. Я отправлял эти сообщения и отслеживал системные вызовы, чтобы узнать, что происходит под капотом при получении электронной почты, и вот что я нашел. Технический аспектОписаниеMail имеет функцию, которая позволяет автоматически распаковывать вложения, которые были автоматически архивированы другим пользователем. В допустимом варианте использования, если пользователь создает электронную почту и добавляет папку в качестве вложения, она автоматически сжимается с помощью .zip и настройки x-mac-auto-archive = yes и затем добавляется в заголовки MIME. Когда другой пользователь почты получает это электронное письмо, сжатые данные автоматически распаковываются.Во время своего исследования я обнаружил, что части несжатых данных не очищаются из временного каталога, и этот каталог не является уникальным в среде Mail. Это можно использовать для получения несанкционированного доступа к записи в ~ /Library/Mail и в $TMPDIR, используя символические ссылки внутри этих заархивированных файлов.Символические ссылкиСимволическая ссылка - это специальный файл в файловой системе, в котором вместо пользовательских данных содержится путь к файлу, открываемому при обращении к данной ссылке.Вот что происходитЗлоумышленник отправляет жертве эксплойт по электронной почте, который включает в себя два zip-файла в качестве вложений. Сразу же, когда пользователь получает электронное письмо, Apple Mail анализирует его и ищет любые вложения с заголовком x-mac-auto-archive = yes. Mail автоматически распаковывает эти файлы. 
1 этапПервый zip-архив включает символическую ссылку Mail, которая отсылает к «$ HOME / Library / Mail» и файл 1.txt. Zip распаковывается в «$TMPDIR/com.apple.mail/bom/». На основе заголовка «filename = 1.txt.zip» 1.txt копируется в почтовый каталог, и все работает так, как положено. Однако очистка выполняется неправильно, и символическая ссылка остается на месте. 2 этапВторой прикрепленный zip-архив содержит изменения, которые вы хотите внести в «$ HOME/Library/Mail». Это предоставит произвольное разрешение на запись файла в Library/Mail. В моем примере я написал новые правила для почты. При этом вы можете добавить их в приложение почты.
Mail/ZCZPoCMail/V7/MailData/RulesActiveState.plistMail/V7/MailData/SyncedRules.plist
Mail/ZCZPoC включает в себя просто текстовый файл, который будет записан в ~/Library/Mail.Переписать список правил почтыФайлы могут быть перезаписаны, и именно это происходит с файлами RulesActiveState.plist и SyncedRules.plist. Главное в RulesActiveState.plist — это активировать новое правило в SyncedRules.plist.
…<dict><key>0C8B9B35–2F89–418F-913F-A6F5E0C8F445</key><true/></dict>…
SyncedRules.plist содержит правило, соответствующее «AnyMessage», и правило, при котором PoC приложение Mail воспроизводит звук Морзе при получении любого сообщения.
…<key>Criteria</key><array><dict><key>CriterionUniqueId</key><string>0C8B9B35–2F89–418F-913F-A6F5E0C8F445</string><key>Header</key><string>AnyMessage</string></dict></array>…<key>SoundName</key><string>Morse</string>
Вместо воспроизведения звука Морзе это может быть, например, правило переадресации для утечки конфиденциальных данных электронной почты.Возможные последствияЭтот произвольный доступ позволяет злоумышленнику манипулировать всеми файлами в $HOME/Library/Mail. Это могло привести к передаче конфиденциальных данных третьим лицам путем изменения конфигурации почты. Один из доступных вариантов конфигурации — это подпись пользователя, которая может быть использована для исправления уязвимости. Также есть вероятность, что это могло привести к уязвимости удаленного выполнения кода (RCE), но я не зашел так далеко.Хронология событий2020–05–16: обнаружена проблема 2020–05–24: PoC готов и сообщается в Apple2020-06-04: Выпуск Catalina 10.15.6 Beta 4 с исправлением2020–07–15: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5 Обновление с исправлением выпущено2020–11–12: выпущена CVE-2020–99222021–03–30: Bug Bounty еще не оцененаСпасибо коллегам-исследователям, которые поделились своими открытиями и знаниями, и спасибо Apple за быстрые исправления. Огромное спасибо моим коллегам, которые помогли мне с этой статьей!
===========
Источник:
habr.com
===========
===========
Автор оригинала: Mikko Kenttälä
===========Похожие новости:
- [Информационная безопасность, Assembler, Реверс-инжиниринг, Хранение данных, CTF] Ломаем зашифрованный диск для собеседования от RedBalloonSecurity. Part 0x01
- [Информационная безопасность, Социальные сети и сообщества] В ходе утечки данных пользователей Facebook в открытый доступ попал номер Цукерберга
- [Информационная безопасность, Законодательство в IT, IT-компании] Произошла крупная утечка данных пользователей, которые подавали запрос на кредит в банк «Дом.РФ»
- [Информационная безопасность, GitHub, IT-компании] GitHub расследует, как инфраструктуру функции Actions использовали для майнинга
- [Информационная безопасность, Криптография, Open source, *nix, ECM/СЭД] ЭЦП по ГОСТ на GNU/Linux с помощью OpenSSL
- [Информационная безопасность, Законодательство в IT] ЦИК обновляет фильтр от DDoS-атак
- [Информационная безопасность, Мессенджеры, Социальные сети и сообщества] Персональные данные 533 миллионов пользователей Facebook утекли в сеть
- [Законодательство в IT, Компьютерное железо, Ноутбуки, IT-компании] Суд признал, что Apple знала о дефекте Flexgate в продаваемых в 2016-2017 годах ноутбуках MacBook Pro
- [Информационная безопасность, Монетизация мобильных приложений, Контекстная реклама, Законодательство в IT] Яндекс и Mail.ru заявили, что их приложения никуда не передают данные пользователей
- [IT-инфраструктура, Графический дизайн, История IT, Биографии гиков, IT-компании] Почему ПК – не сервер
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_apple_mail, #_macos, #_ujazvimost (уязвимость), #_apple, #_blog_kompanii_itsoft (
Блог компании ITSOFT
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 16:07
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
 Zip Zero-Click TL;DRЯ обнаружил Zero-Click уязвимость(не требующая от пользователя никаких дополнительных действий, например, нажатия, скачивания и т.п.) в Apple Mail, которая позволяла добавлять или изменять любой произвольный файл в среде местной песочницы. Эта уязвимость могла привести к различным неприятностям, включая несанкционированное раскрытие конфиденциальной информации третьим лицам. Злоумышленник мог изменить конфигурацию почты жертвы, например, переадресацию почты, что позволяет захватить другие учетные записи жертвы с помощью сброса пароля. Эта уязвимость могла быть использована для изменения настроек пользователя, чтобы он сам распространял вирус, общаясь с другими пользователями. Apple исправила эту уязвимость в июле 2020 года. ИсторияОднажды я изучал Apple Bug Bounty и начал думать, какие атаки могут быть запущены без действий пользователя. Первой идеей, очевидно, был Safari. Я немного поиграл с Safari, но не нашел интересных зацепок. Следующее, что у меня было на уме — это Mail или iMessage. Я сосредоточился на Mail, потому что подозревал, что устаревшие функции скрываются в старом коде. Я начал экспериментировать с почтой, отправляя тестовые сообщения и вложения, пытаясь найти аномалию по сравнению с обычной отправкой и получением электронной почты. Я отправлял эти сообщения и отслеживал системные вызовы, чтобы узнать, что происходит под капотом при получении электронной почты, и вот что я нашел. Технический аспектОписаниеMail имеет функцию, которая позволяет автоматически распаковывать вложения, которые были автоматически архивированы другим пользователем. В допустимом варианте использования, если пользователь создает электронную почту и добавляет папку в качестве вложения, она автоматически сжимается с помощью .zip и настройки x-mac-auto-archive = yes и затем добавляется в заголовки MIME. Когда другой пользователь почты получает это электронное письмо, сжатые данные автоматически распаковываются.Во время своего исследования я обнаружил, что части несжатых данных не очищаются из временного каталога, и этот каталог не является уникальным в среде Mail. Это можно использовать для получения несанкционированного доступа к записи в ~ /Library/Mail и в $TMPDIR, используя символические ссылки внутри этих заархивированных файлов.Символические ссылкиСимволическая ссылка - это специальный файл в файловой системе, в котором вместо пользовательских данных содержится путь к файлу, открываемому при обращении к данной ссылке.Вот что происходитЗлоумышленник отправляет жертве эксплойт по электронной почте, который включает в себя два zip-файла в качестве вложений. Сразу же, когда пользователь получает электронное письмо, Apple Mail анализирует его и ищет любые вложения с заголовком x-mac-auto-archive = yes. Mail автоматически распаковывает эти файлы.  1 этапПервый zip-архив включает символическую ссылку Mail, которая отсылает к «$ HOME / Library / Mail» и файл 1.txt. Zip распаковывается в «$TMPDIR/com.apple.mail/bom/». На основе заголовка «filename = 1.txt.zip» 1.txt копируется в почтовый каталог, и все работает так, как положено. Однако очистка выполняется неправильно, и символическая ссылка остается на месте. 2 этапВторой прикрепленный zip-архив содержит изменения, которые вы хотите внести в «$ HOME/Library/Mail». Это предоставит произвольное разрешение на запись файла в Library/Mail. В моем примере я написал новые правила для почты. При этом вы можете добавить их в приложение почты. Mail/ZCZPoCMail/V7/MailData/RulesActiveState.plistMail/V7/MailData/SyncedRules.plist
…<dict><key>0C8B9B35–2F89–418F-913F-A6F5E0C8F445</key><true/></dict>…
…<key>Criteria</key><array><dict><key>CriterionUniqueId</key><string>0C8B9B35–2F89–418F-913F-A6F5E0C8F445</string><key>Header</key><string>AnyMessage</string></dict></array>…<key>SoundName</key><string>Morse</string>
=========== Источник: habr.com =========== =========== Автор оригинала: Mikko Kenttälä ===========Похожие новости:
Блог компании ITSOFT ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 16:07
Часовой пояс: UTC + 5