macOS’te Zero-Click Takvim Daveti güvenlik açığı zinciri

 (mikko-kenttala.medium.com)
1 puan yazan GN⁺ 2024-09-14 | 1 yorum | WhatsApp'ta paylaş
  • macOS Calendar’da zero-click bir güvenlik açığı keşfedildi
  • Saldırgan, Calendar sandbox ortamı içinde rastgele dosyalar ekleyebilir veya silebilir
  • Kötü amaçlı kod çalıştırma ve güvenlik korumalarını aşmayla birleştirildiğinde, kullanıcının hassas iCloud Photos verilerini tehlikeye atabilir
  • Apple, Ekim 2022 ile Eylül 2023 arasında tüm açıkları düzeltti

Güvenlik açığı ayrıntıları

1. aşama: Calendar’daki rastgele dosya yazma ve silme açığı (CVE-2022-46723)

  • Saldırgan, kötü amaçlı bir takvim daveti aracılığıyla dosya eki ekleyebilir
  • Ekin dosya adı düzgün şekilde doğrulanmıyor
  • ATTACH bölümünde rastgele bir yol ayarlanarak dizin geçişi saldırısı gerçekleştirilebilir
  • Örnek: FILENAME=../../../PoC.txt
  • Dosya ~/Library/Calendar/PoC.txt konumuna ekleniyor
  • Dosya zaten varsa PoC.txt-2 olarak kaydediliyor
  • Saldırganın gönderdiği etkinlik/ek silindiğinde, asıl dosya (PoC.txt) kaldırılıyor
  • Bu açık, dosya sistemi içindeki mevcut dosyaları kaldırmak için kullanılabilir
  • Açık macOS Montrey 12.5’te mevcut. macOS 13.0 beta4 ise etkilenmiyor

2. aşama: rastgele dosya yazma açığıyla uzaktan kod yürütme (RCE) elde etme

  • macOS Ventura’nın yayınlanmasından hemen önce keşfedildi
  • macOS sürüm yükseltme süreci kullanılarak, Calendar’ın Open File özelliği üzerinden uzaktan kod yürütme elde edilebiliyor
  • Birden fazla dosya enfekte edilerek RCE exploit’i tetikleniyor
Enjekte edilen dosya #1: 000Hacked-$RANDOM.calendar
  • Siri’nin önerdiği takvim verisi gibi görünen takvim verileri içeriyor
  • Tekrarlayan etkinlik ve hatırlatıcı özellikleri içeriyor
Enjekte edilen dosya #2: CalendarTruthFileMigrationInProgress dosyası
  • Mevcut takvimleri yeni veritabanına yükseltip birleştiriyor
Enjekte edilen dosya #3: CalPoCInit.dmg
  • Takvim etkinliğine eklenen bir hatırlatıcı dosyayı açıyor
  • CalPoCInit.dmg, harici bir Samba sunucusuna işaret eden bir referans içeriyor
Enjekte edilen dosya #4: stage1.url
  • Takvim etkinliğine eklenen ikinci hatırlatıcı dosyayı açıyor
  • Samba mount üzerindeki bir uygulamaya işaret eden bir URL içeriyor
Enjekte edilen dosya #5: stage2.url
  • Takvim etkinliğine eklenen üçüncü hatırlatıcı dosyayı açıyor
  • Kullanıcı etkileşimi olmadan kötü amaçlı uygulamayı çalıştırıyor

3. aşama: hassas Photos verilerine erişim

  • Photos yapılandırması değiştirilerek iCloud’da depolanan fotoğraflara erişilebiliyor
  • TCC koruması aşılabildiği için hassas kullanıcı verileri dışarı sızdırılabiliyor

Photos yapılandırmasını değiştirerek iCloud dosyalarına erişim

  • Saldırgan, Photos’un System Photo Library ayarını farklı bir yola yönlendiren bir yapılandırma dosyası oluşturuyor
  • PhotosPoC.sh çalıştırıldığında yeni yapılandırma dosyası içe aktarılıyor
  • Orijinal yapılandırma yedekleniyor ve yeni yapılandırma /var/tmp/mypictures/ içine kaydediliyor
  • Photos, yeni System Photo Library ile başlatılıyor ve iCloud senkronizasyonu etkinleştiriliyor

Tüm zincir

  • macOS’teki tüm güvenlik engellerini aşmak için birden fazla adımdan geçmek gerekiyor
  • Sandbox aşılırken, SMB hilesi kullanılarak Gatekeeper azaltım önlemleri de atlatılıyor
  • TCC koruması aşılarak hassas verilere erişim sağlanabiliyor

Zaman çizelgesi

  • 2022-08-08: Calendar sandbox içinde rastgele dosya yazma ve silme raporlandı
  • 2022-10-24: macOS Monterey 12.6.1 ve Ventura 13’te düzeltildi
  • 2022-11-14: PoC gönderildi, Calendar açığıyla rastgele kod yürütme yöntemi paylaşıldı
  • 2022-12-04: PoC gönderildi, iCloud fotoğraflarına erişim yöntemi paylaşıldı
  • 2023-02-20: CVE-2022-46723 için kredi ve CVE eklendi
  • 2023-03-27: macOS Ventura 13.3’te Gatekeeper atlatma düzeltildi
  • 2023-09-26: CVE-2023-40434 Photos açığı düzeltildi ve kredi verildi
  • 2023-10-09: Gatekeeper atlatma ve Photos açığıyla ilgili bug bounty duyuruldu
  • 2023-12-21: CVE-2023-40433 Gatekeeper atlatma için kredi verildi

GN⁺ özeti

  • Bu yazı, macOS Calendar’daki zero-click güvenlik açığını ve bunun saldırganların kullanıcının hassas iCloud Photos verilerine nasıl erişebildiğini ele alıyor
  • Açık zinciri, birden fazla aşamadan geçerek sandbox’ı, Gatekeeper ve TCC korumalarını aşıp uzaktan kod yürütme ve hassas verilere erişim sağlıyor
  • Yazı, güvenlik araştırmacıları ve macOS kullanıcıları için önemli bilgiler sunuyor ve Apple’ın bu açıkları düzelttiğini vurguluyor
  • Benzer işlevlere sahip diğer projeler arasında Google Calendar gibi başka takvim uygulamaları da bulunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-14
Hacker News görüşleri

  • Büyük teknoloji şirketleri ödül ödemediğinde, bunun arkasında muhtemelen meşru bir neden vardır

    • Ödül programları, geçerli başvurular için ödeme yapmak üzere tasarlanmıştır
    • Ödül ödememek, programın amacına ters düşer
    • Programı yürüten ekipler daha fazla ödül ödemeye teşvik edilir

  • iCloud Photo Library kullanmıyorum ama fotoğraf arşivinin konumu değiştiğinde yeni konumun korunmaması tuhaf

    • Sistem fotoğraf arşivi değiştirildikten sonra Photos uygulaması ilgili dizini korumalı
    • Sonoma 14.6.1 sisteminde test ettiğimde, yeni fotoğraf arşivi ~/Pictures içinde oluşturulursa erişim reddediliyor
    • Ancak /tmp içinde oluşturulursa erişime izin veriliyor
    • Apple, fotoğraf arşivini dosya sisteminde herhangi bir yere taşıma özelliğini destekliyorsa uygun korumaları da uygulamalı

  • Karantina bayrağını manipüle etmenin başka bir yolu daha var

    • Çok fazla sistem bu bayrakları değiştirebilme yetkisine sahip

  • İlk adımın kendisi zaten ciddi bir zafiyet

    • Saldırgan, ATTACH bölümüne keyfi bir yol ayarlayarak dizin geçişi saldırısı gerçekleştirebilir

  • Saldırgan, kötü amaçlı bir takvim davetiyle kurbanın iCloud Photos içeriğini çalabilir

    • macOS kullanıcılarının herhangi birine rastgele davet gönderebilip gönderemediğini merak ediyorum

  • Saldırganın belirttiği dosya zaten varsa, "PoC.txt-2" olarak kaydediliyor

    • Daha sonra etkinlik/ek silinirse özgün dosya kaldırılıyor
    • Bu zafiyet, dosya sistemindeki mevcut dosyaları silmek için kullanılabilir

  • Ödül sürecinin durumu hoşuma gitmiyor

    • Güvenlik araştırmacılarının Apple veya diğer FAANG şirketlerinde bu kadar uzun beklemesi normal mi merak ediyorum

  • Bellek güvenliğiyle ilgili olmayan bir güvenlik açığı çıktığında garip bir heyecan duyuyorum

    • Rust'a yatırılan zaman ve enerjinin bir yol geçişi hatasıyla boşa gideceği düşüncesi eğlenceli geliyor

  • Lockdown Mode bunun önüne geçiyor mu merak ediyorum

  • Oldukça eski bir exploit

    • Dosya adında yol bulunduğuna dair bir şeyi yaklaşık 10 yıl önce okuduğumu hatırlıyorum