快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

CVE-2017-4918:VMware Horizon的macOS客户端代码注入漏洞分析

本文我们将探讨如何通过VMware Horizon macOS客户端版本4.4.0 (5164329)中存在的代码注入漏洞获取本地root权限。在此文发布前我们已确认漏洞在最新版本中已被修复,该漏洞是在我学习了解“Open VMware View Client Services” SUID机制后发现的。

代码注入漏洞

该漏洞存在于Horizon内部的远程USB服务,且仅在键入管理凭证启动服务之后才能利用

Horizon内部的远程USB服务

为了进一步研究,我使用到Fireeye最新发布的Monitor.app应用程序,该程序主要用于macOS上的进程监听(procmon)
Monitor.app应用程序

从Monitor.app捕获到的结果,黑客漏洞,可以清楚得知services.sh被包装在Open VMware View Client Services之中。这样脚本文件的SUID位被忽略也就说得通了(参考Allow setuid on shell scripts)。

在仔细观察该脚本文件之后,我辨识出如下截图中代码高亮部分或许就是代码注入漏洞的起点。尽管我对./vmware-usbarbitrator的内部工作原理不了解,但这些代码深深的吸引了我的目光。作为一个非管理员用户,我能够设置环境变量VMWARE_VIEW_USBARBITRATOR_LOG_OPTIONS的内容(在之后的一个SUID执行脚本中会用到)

脚本文件

在仔细阅读命令行参数选项说明后,我非常肯定我们是能够通过–kext参数加载一个自定义内核扩展。

CVE-2017-4918:VMware Horizon的macOS客户端代码注入漏洞分析

但接下来我们将面临2个问题:

  • 内核扩展仅在root : wheel权限下加载
  • 此外,KEXTs必须有苹果公司的签名
  • 经过一系列思考,我决定忽略第二个问题。因此,我禁用了SIP

    禁用了SIP

    接下来我们就着重关注第一个问题。为了成功加载一个内核扩展,该二进制文件必属于root : wheel。然而,对于一个普通用户来说,是无法在本地文件上设置该文件系统权限的。幸运的是,在这之前我有花时间去了解Tools On Air文件系统的输入输出原理,所以我清楚的知道我们只需利用NFS便能达到目的。NFS允许服务指定文件系统权限,即使是由一个普通用户进行挂载。我所知道的其他本地或者远程文件系统从某种程度上来讲,都会忽略root用户所属文件权限。我们的下一个动作即是引用一个远程文件夹(我随身携带的Kali Linux)以利用NFS。

    引用一个远程文件夹

    使用Finder的“连接到服务器”功能进行挂载

    使用Finder的“连接到服务器”功能进行挂载

    接着创建一个简单的KEXT

    创建一个简单的KEXT

    之后更新Info.plist文件以满足我们的需求(新增一个IOKitPersonalities字典),我已经准备好了!

    更新Info.plist文件

    通过将KEXT复制到NFS服务器,之后进行权限调整以满足root:wheel,至此我们便能够愉快的开始真正的利用了。

    进行权限调整以满足root:wheel

    在我们之前创建的KEXT中简单设置VMWARE_VIEW_USBARBITRATOR_LOG_OPTIONS环境变量,然后运行Open VMware View Client Services。现在能够成功加载了。

    运行Open VMware View Client Services

    至此,我们作为一个普通用户拿下内核环境的代码执行权限。

    解决方案

    过滤或者清除环境变量VMWARE_VIEW_USBARBITRATOR_LOG_OPTIONS以及VMWARE_VIEW_USBD_LOG_OPTIONS

    *参考来源:bogner,freebuf小编鸢尾编译,

    您可能还会对下面的文章感兴趣: