Instalator Zoom pozwala naukowcom włamać się do rootowania na macOS

Badacz bezpieczeństwa odkrył sposób, w jaki osoba atakująca może wykorzystać wersję Zoom dla systemu macOS, aby uzyskać dostęp do całego systemu operacyjnego.

Szczegóły luki zostały ujawnione w prezentacji przedstawionej przez specjalistę ds. bezpieczeństwa komputerów Mac Patricka Wardle’a na konferencji hakerskiej Def Con w Las Vegas w piątek. Niektóre błędy zawarte w Zoomie zostały już naprawione, ale badacz wprowadził również jedną niezałataną lukę, która nadal wpływa na systemy.

Exploit działa poprzez celowanie w instalator aplikacji Zoom, który musi być uruchamiany ze specjalnymi uprawnieniami użytkownika, aby zainstalować lub usunąć główną aplikację Zoom z komputera. Chociaż instalator wymaga od użytkownika wprowadzenia hasła, gdy aplikacja jest dodawana po raz pierwszy do systemu, Wardle odkrył, że funkcja automatycznej aktualizacji działa wtedy stale w tle z uprawnieniami superużytkownika.

Kiedy Zoom wydał aktualizację, funkcja aktualizacji instalowała nowy pakiet po zweryfikowaniu jego podpisu kryptograficznego przez Zoom. Jednak błąd w sposobie implementacji metody skanowania oznacza, że ​​podanie aktualizatorowi dowolnego pliku o tej samej nazwie co certyfikat podpisu Zoom wystarczy, aby przejść test – atakujący może więc zastąpić dowolny rodzaj złośliwego oprogramowania i uruchomić go z wysoce uprzywilejowanym aktualizator.

wynik to Atak eskalacji franczyzy, który zakłada, że ​​atakujący uzyskał już wstępny dostęp do systemu docelowego, a następnie wykorzystuje podatność, aby uzyskać wyższy poziom dostępu. W tym przypadku atakujący zaczyna od konta użytkownika z ograniczonym dostępem, ale eskaluje do najpotężniejszego typu użytkownika – znanego jako „superużytkownik” lub „root” – umożliwiając mu dodawanie, usuwanie lub modyfikowanie dowolnych plików na urządzeniu.

Wardle jest założycielem Objective-See Foundation, organizacji non-profit, która tworzy narzędzia bezpieczeństwa typu open source dla systemu macOS. Wcześniej na konferencji Black Hat Cyber ​​​​Security, która odbyła się w tym samym tygodniu z Def Con, Wardle Opisał nieautoryzowane użycie algorytmów wydobytych z jego oprogramowania zabezpieczającego typu open source przez firmy nastawione na zysk..

Zgodnie z protokołami odpowiedzialnego wykrywania, Wardle Zoom zgłosił lukę w grudniu zeszłego roku. Ku swojej frustracji mówi, że początkowa poprawka Zooma zawierała inny błąd, który oznaczał, że luka nadal była możliwa do wykorzystania w nieco okrężny sposób, więc ujawnił ten drugi błąd Zoomowi i czekał osiem miesięcy przed opublikowaniem badania.

„Dla mnie było to trochę problematyczne, ponieważ nie tylko zgłaszałem błędy do Zoom, ale także zgłaszałem błędy i sposoby naprawy kodu” – powiedział Wardle. krawędź Na rozmowie przed rozmową. „Więc to było naprawdę frustrujące czekać, sześć, siedem, osiem miesięcy, wiedząc, że wszystkie wersje Zoom na Maca zostały zainstalowane na komputerach użytkowników”.

Kilka tygodni przed wydarzeniem Def Con, Wardle mówi, że Zoom wypuścił łatkę, aby naprawić błędy, które początkowo wykryto. Ale po bliższej analizie pojawił się inny mały błąd, który oznaczał, że nadal można go wykorzystać.

W nowej wersji instalatora aktualizacji instalowany pakiet jest najpierw przenoszony do katalogu, którego właścicielem jest użytkownik „root”. Ogólnie oznacza to, że żaden użytkownik bez uprawnień administratora nie może dodawać, usuwać ani modyfikować plików w tym katalogu. Jednak ze względu na dokładność systemów uniksowych (z których jednym z nich jest macOS), gdy przenosisz istniejący plik z innej lokalizacji do katalogu głównego, zachowuje on te same uprawnienia do odczytu i zapisu, które miał wcześniej. Dlatego w tym przypadku nadal może być modyfikowany przez zwykłego użytkownika. Ponieważ można go zmodyfikować, złośliwy użytkownik nadal może zamienić zawartość tego pliku na wybrany przez siebie plik i użyć go do zostania rootem.

Chociaż ten błąd jest obecnie w Zoomie, Wardle mówi, że jest bardzo łatwy do naprawienia i ma nadzieję, że mówienie o tym publicznie „nasmaruje koła”, aby firma mogła się nim zająć prędzej niż później.

Zoom nie odpowiedział na prośbę o komentarz w momencie publikacji.