Badacz bezpieczeństwa opublikował szczegóły i kod PoC (proof-of-concept) dla luki w systemie macOS, która może zostać wykorzystana do ucieczki z piaskownicy i wykonania kodu w Terminalu.

Usterka bezpieczeństwa, śledzona jako CVE-2022-26696 (wynik CVSS 7,8), została zidentyfikowana i zgłoszona w zeszłym roku, a łata była dostępna od czasu wydania macOS Monterey 12.4 w maju.

W swoim poradniku Apple zauważa, że luka pozwoliła procesowi piaskownicy obejść ograniczenia piaskownicy, a ulepszone oczyszczanie środowiska rozwiązało problem.

Aby osoba atakująca mogła wykorzystać tę lukę, musi wykonać kod o niskich uprawnieniach w systemie docelowym.

„Specyficzna luka istnieje w obsłudze komunikatów XPC w komponencie LaunchServices. Spreparowany komunikat może spowodować wykonanie operacji uprzywilejowanej” — wyjaśnia Zero Day Initiative (ZDI) firmy Trend Micro.

Osoba atakująca, która może wykorzystać tę lukę, może „eskalować uprawnienia i wykonać dowolny kod w kontekście bieżącego użytkownika”, mówi ZDI.

Według badacza SecuRing, Wojciecha Regu?a, któremu przypisano zgłoszenie CVE-2022-26696, główną przyczyną błędu jest to, że macOS pozwala aplikacjom piaskownicy na uruchamianie procesów, które nie dziedziczą profilu piaskownicy głównej aplikacji.

Platforma pozwala również na tworzenie aplikacji ze zmiennymi środowiskowymi, a CVE-2022-26696 został zidentyfikowany w tym mechanizmie.

Regula odkryła, że z jednej strony określona funkcja zwracała „Tak”, gdy ustawiona była określona zmienna środowiskowa, a z drugiej strony niektóre zmienne środowiskowe nie były usuwane, gdy funkcja zwracała „Tak”.

To, jak twierdzi badacz, pozwoliło mu „wykonać kod w kontekście Terminal.app bez żadnej piaskownicy”.

W piątek Regu?a opublikowała szczegóły dotyczące kodu potrzebnego do wykorzystania luki, a także demonstrację wideo na temat tego, w jaki sposób uzbrojony dokument Word może zostać wykorzystany do ucieczki z piaskownicy i wykonania kodu w terminalu.

„Wykonywanie kodu w kontekście Terminal.app może być naprawdę niebezpieczne, ponieważ może również mieć już przyznane pewne uprawnienia TCC” – podkreśla badacz.

 

źródło: cyber social hub

Views: 4