macOS 0-day漏洞详情披露,可被利用完全接管系统

2017 年 12 月 31 日,一名推特账号为 Siguza 的安全研究人员公布了 macOS 0-day 漏洞的详情。该漏洞是一个本地提权漏洞,影响到所有 macOS 版本,主要涉及人机接口设备(如触摸屏、按键、加速度计等)的内核驱动程序 IOHIDFamily。攻击者利用这个漏洞可以在在内核中进行任意读/写,并执行任意代码、获取 root 许可,进而彻底接管系统。据 Siguza 推测,漏洞可以追溯到 2002 年。

Siguza 原本是在分析 iOS 中 IOHIDFamily 的漏洞,结果发现 IOHIDSystem 组件仅存在于 macOS 上,最后发现了这个漏洞。

我最初想研究 IOHIDSystem 组件,希望找到一个能够渗透 iOS 内核的漏洞。结果发现 IOHIDFamily 的某些部分(尤其是 IOHIDSystem)只存在于 macOS 上,结果就在 macOS 上发现了这个存在于 IOHIDFamily 组件中的漏洞。

Siguza 还发布了名为 IOHIDeous 的 PoC 代码,可在 Sierra 和 High Sierra(最高版本为 10.13.1)上实现利用,获取完整的内核读/写权限,并禁用系统完整性保护(SIP)功能和 Apple 移动文件完整性(AMFI)保护功能。非特权用户也可在所有最新版本的 macOS 上利用该漏洞。

图:存在漏洞的 IOHIDSystem 代码

如上图所示,eop->evGlobalsOffset = sizeof(EvOffsets);evg = (EvGlobals *)((char *)shmem_addr + eop->evGlobalsOffset);这两行存在问题。

其中,eop->evGlobalsOffset的值可以更改,所以会导致evg指向其他非意向结果。

更多技术分析详情可以点击阅读原文相关链接查阅。

实验表明,该漏洞利用代码运行速度很快,能够避免用户交互,甚至在系统关闭时“能够在用户注销和内核杀毒之抢先运行”。这意味着用户在注销、重新启动或关闭计算机时,都有可能遭到攻击,被攻击者获取 root 权限,连社工都不需要。

不过,Siguza 发布的 PoC 代码似乎不适用于2017 年 12 月 6 日苹果刚刚发布的 macOS High Sierra 10.13.2 版本,但他认为这个版本仍然有可能存在问题。

由于某些原因,我这份时序攻击在 High Sierra 10.13.2 上不起作用,不过我也不会再深入研究了。也许是因为 10,13,2 版本打了补丁,也许只是随机变化的后果,我既不知道也不在乎。 漏洞依然存在,这个 PoC 体现了该漏洞的信息泄露和内核读/写的特性,不过这两个特性不在同一个二进制文件中。

我的主要目的是让人们知道这个漏洞。我不会把 exploit 卖给黑客,因为我不想助纣为虐。如果苹果的漏洞奖励计划包含 macOS 的漏洞,或者这个漏洞出现远程利用的实例,那我早就把这个漏洞提交给苹果了。

Siguza 公开披露这个 macOS 0-day 漏洞的原因是该漏洞已经被一名本地攻击者利用,而且苹果的漏洞奖励计划并未涵盖这一类的漏洞。所以,目前漏洞还未修复。由于这个漏洞需要在本地访问计算机或者攻击者已经入侵过计算机的前提下才可以被利用,所以可能会被苹果列为非严重问题,不会进行紧急修复。据推测,苹果可能会在下个月的安全更新中修复。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-01-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏QQ会员技术团队的专栏

大规模 codis 集群的治理与实践

本文将从方案选型、整体架构、自动化接入、数据迁移、高可用、运营实践等方面详细介绍我们在生产环境中的实践情况。

2.5K40
来自专栏FreeBuf

如何使用Airgeddon搭建基于软件的WIFI干扰器

Airgeddon是一款能够进行Wi-Fi干扰的多Bash网络审计工具,它可以允许你在未加入目标网络的情况下设置目标,并且断开目标网络中的所有设备。Airged...

371100
来自专栏PHP在线

PHP7的优缺点及从当前版本升级到PHP7都遇见了哪些坑

优点就是快,相比5.6有一倍的提升,也有很多方便的新特性,缺点是目前相关的扩展支持还不完善,很多扩展(非官方)坑不少,万一踩到由于内核变化,很多人调试起来可能不...

54760
来自专栏FreeBuf

CVE-2015-0393:Oracle发布严重安全漏洞预警

Oracle在本周二发布了本年度第一个安全补丁升级(CPU)公告,随之而来的,还有一些令人不安的漏洞预警。也许这两天运维同学们需要给自家公司的Oracle产品打...

22750
来自专栏安恒信息

新型Web劫持技术现身,专攻搜索引擎

近期,安全机构截获了一例利用script脚本进行Web劫持的攻击案例,在该案例中,黑客利用一批新闻页面重置了搜索引擎页面,并将搜索结果替换为自己制作的...

38350
来自专栏PPV课数据科学社区

大数据系列(1)——Hadoop集群坏境搭建配置

文|指尖流淌 前言 关于时下最热的技术潮流,无疑大数据是首当其中最热的一个技术点,关于大数据的概念和方法论铺天盖地的到处宣扬,但其实很多公司或者技术人员也不能详...

45150
来自专栏FreeBuf

工具解析 | 杀毒引擎惨遭打脸,黑帽大会爆惊天免杀工具

今年的黑帽大会上,可谓是精彩不断。与往届大会对比看来,当属2017这届最有看头。各种推陈出新的技术暂且不论,光是爆出的新免杀工具AVET就足以惊艳全场。 该工具...

23620
来自专栏逍遥剑客的游戏开发

UE4中集成Wiimote

299110
来自专栏FreeBuf

如何通过WIFI渗透企业内网?

介绍 黑盒渗透测试意味着白帽子对目标网络一无所知。模拟黑客攻击网络,并获取敏感信息。进一步,探索内网,识别内网中的漏洞,通过漏洞访问网络里的重要资源。 目的 在...

35480
来自专栏程序员阿凯

GitHub 可以被收购,Git 命令你不能不会

17440

扫码关注云+社区

领取腾讯云代金券