爆资讯爆资讯爆资讯

苹果macOS Mail零点击漏洞分析

苹果macOS Mail零点击漏洞分析

零点击Zip

日前安全人员Mikko Kenttälä发现了Apple Mail中的一个零点击漏洞,利用该漏洞可以在Mail的沙箱环境中添加或修改任何文件。 这样可以导致用户劫持可以未经授权就将敏感信息泄露给第三方。攻击者可以修改受害者的邮件配置实现邮件重定向,然后从通过重置密码来获取受害者账户。还可以用来更改受害者的配置,以其名义用蠕虫方式将攻击其他用户。苹果修补了此漏洞。

技术细节

Mac Mail具备自动解压缩由另一个用户自动压缩的附件的功能。在有效的用例:用户创建电子邮件并将文件夹添加为附件,它将使用zip和x-mac-auto-archive = yes自动压缩;并被添加到MIME标头中。当另一个用户收到此电子邮件时,压缩的附件数据将自动解压缩。

在过程中,发现苹果Mail处理中未压缩数据的一部分未从临时目录中清除,并且该目录在Mail上下文中不是唯一的,可以利用压缩文件中内部符号链接$MPDIR到〜/Library/Mail进行未经授权的写访问。

攻击者发送电子邮件漏洞利用程序,其中包括两个zip附件。当用户收到电子邮件后,Mail会对其进行解析,以找出所有带有x-mac-auto-archive = yes标头的附件。 Mail将自动解压缩这些文件。

苹果macOS Mail零点击漏洞分析

第一阶段

第一个zip包含一个名为Mail的符号链接,指向受害者“$HOME/Library/Mail”和文件1.txt。压缩文件将解压缩为“$TMPDIR/com.apple.mail/bom/”。根据“filename = 1.txt.zip”标头,将1.txt复制到邮件目录,一切正常。但是,清理未正确完成,并且符号链接保留在原处。

第二阶段

第二个附加的zip包含要对“$HOME/Library/Mail”进行的更改,提供Library/Mail的任意文件写入权限。

示例案例中为Mail应用程序编写了一个新的Mail规则。这样,就可以向受害者的邮件应用程序添加自动转发规则。

Mail/ZCZPoCMail/V7/MailData/RulesActiveState.plistMail/V7/MailData/SyncedRules.plist

Mail/ZCZPoC仅包含一个纯文本文件,该文件将被写入〜/Library/Mail。

覆盖邮件规则列表

然后该目录下的文件可以被覆盖,比如RulesActiveState.plist和SyncedRules.plist文件。

RulesActiveState.plist中的主要内容是激活SyncedRules.plist中的规则。

 0C8B9B35–2F89–418F-913F-A6F5E0C8F445 

SyncedRules.plist包含一个匹配“AnyMessage”的规则,并且此PoC中的规则将Mail应用程序设置为在收到任何消息时播放莫尔斯声音。

CriteriaCriterionUniqueId0C8B9B35–2F89–418F-913F-A6F5E0C8F445HeaderAnyMessageSoundNameMorse

莫尔斯码发声的代码也可以修改为其他可以执行的操作,比如转发规则用来上传敏感的电子邮件信息。

影响

这种任意的写访问权限使攻击者可以操纵$HOME/Library/Mail中的所有文件。 如部分图示,可以用来操纵Mail应用程序的配置将敏感数据暴露给第三方。可用的配置选项之一是用户的签名,该签名可用于扩大漏洞的扩散和影响。也有可能导致远程代码执行(RCE)漏洞。

未经允许不得转载:爆资讯 » 苹果macOS Mail零点击漏洞分析

相关推荐