في الحدث الأمني الشهير DEF CON في لاس فيجاس ، نيفادا ، الأسبوع الماضي ، الباحث في الأمن السيبراني في Mac باتريك واردل كشف "الحصول على الجذر" ارتفاع الامتياز (EoP) خطأ في Zoom لنظام التشغيل Mac:
ماهالو لكل من جاء إلي تضمين التغريدة الحديث "أنت M̶u̶t̶e̶d̶ متجذر" 🙏🏽
تم إثارة الحديث عن (& live-demo 😅) ثغرة أمنية محلية خاصة في Zoom (لنظام macOS).
حاليا لا يوجد تصحيح 👀😱
شرائح بتفاصيل كاملة واستغلال PoC: https://t.co/viee0Yd5o2 #0day pic.twitter.com/9dW7DdUm7P
- باتريك واردل (patrickwardle) 12 أغسطس 2022
في التغريدة التي أعقبت حديثه [2022-08-12] ، أشار واردل:
لا يوجد حاليًا أي رقعة [: FRIED-EGG EYES DEPICTING ALARM EMOJI:] [: EDVARD MUNCH SCREAM EMOJI:]
عمل Zoom على الفور على تصحيح الخلل ، والذي تم الإعلان عنه في اليوم التالي نشرة زووم الأمنية ZSB-22018، لكسب التهنئة الرد من واردل في هذه العملية:
Mahalos إلىZoom من أجل الإصلاح السريع (بشكل لا يصدق)! [: تم رفع كلا الأيدي في الاحتفال والتذبذب حول الرموز التعبيرية:] [: ضغط الكفوف معًا في إشارة إلى إيموجي النوايا الحسنة:]
إفصاح يوم الصفر
نظرًا للسرعة الظاهرة والسهولة التي تمكنت بها Zoom من إصدار تصحيح للخطأ ، مدبلج CVE-2022-28756، ربما تتساءل عن سبب عدم إخبار واردل لـ Zoom عن الخطأ مسبقًا ، وتحديد يوم خطابه كموعد نهائي للكشف عن التفاصيل.
كان من شأن ذلك أن يمنح Zoom وقتًا لدفع التحديث إلى العديد من مستخدمي Mac (أو على الأقل لجعله متاحًا لمن يؤمنون به التصحيح في وقت مبكر / التصحيح في كثير من الأحيان) ، وبالتالي القضاء على الفجوة بين واردل الذي يشرح للعالم كيفية إساءة استخدام الخطأ ، وترقيع الخلل.
في الواقع ، يبدو أن Wardle بذل قصارى جهده لتحذير Zoom من هذا الخطأ ، بالإضافة إلى مجموعة من العيوب المترابطة في عملية التحديث التلقائي لـ Zoom ، منذ بضعة أشهر.
يوضح Wardle الجدول الزمني للكشف عن الأخطاء في ملف شرائح من حديثه عن DEF CON، ويسرد مجموعة من تحديثات Zoom المتعلقة بالعيوب التي اكتشفها.
سيف ذو حدين
تتعلق الأخطاء التي ناقشها واردل عمومًا بآلية التحديث التلقائي لـ Zoom ، وهي جزء من أي نظام بيئي للبرامج يشبه إلى حد ما سيف ذو حدين - سلاح أقوى من السيف العادي ، ولكن من الصعب التعامل معه بأمان.
يعد التحديث التلقائي مكونًا لا بد منه في أي تطبيق عميل حديث ، نظرًا لأنه يجعل توزيع التصحيحات المهمة أسهل وأسرع ، مما يساعد المستخدمين على إغلاق ثغرات الأمن السيبراني بشكل موثوق.
لكن التحديث التلقائي يجلب معه بحرًا من المخاطر ، لأسباب ليس أقلها أن أداة التحديث نفسها تحتاج عادةً إلى الوصول إلى النظام على مستوى الجذر.
ذلك لأن مهمة المحدث هي الكتابة فوق برنامج التطبيق (شيء لا يفترض أن يقوم به المستخدم العادي) ، وربما إطلاق أوامر نظام تشغيل ذات امتيازات لإجراء تكوين أو تغييرات أخرى على مستوى النظام.
بعبارة أخرى ، إذا لم يكن المطورون حذرين ، فإن الأداة التي تساعدهم في الحفاظ على تحديث التطبيق الأساسي الخاص بهم وأكثر أمانًا يمكن أن تصبح نقطة انطلاق يمكن للمهاجمين من خلالها تخريب الأمان عن طريق خداع المحدث لتشغيل أوامر غير مصرح بها بامتيازات النظام .
والجدير بالذكر أن برامج التحديث التلقائي تحتاج إلى الحرص على التحقق من أصالة من حزم التحديث التي يقومون بتنزيلها ، لمنع المهاجمين ببساطة من إطعامهم حزمة تحديث مزيفة ، كاملة مع البرامج الضارة المضافة.
هم أيضا بحاجة للحفاظ على سلامة من ملفات التحديث التي يستهلكونها في النهاية ، بحيث لا يتمكن المهاجم المحلي من تعديل حزمة التحديث "الآمنة التي تم التحقق منها" والتي تم تنزيلها للتو في فترة وجيزة بين أن يتم جلبها وتنشيطها.
تجنب التحقق من الأصالة
كما يشرح واردل في كتابه ورقة، أحد الأخطاء التي اكتشفها وكشف عنها كان عيبًا في الخطوة الأولى المذكورة أعلاه ، عندما حاول التحديث التلقائي لـ Zoom التحقق من صحة حزمة التحديث التي قام بتنزيلها للتو.
بدلاً من استخدام واجهات برمجة تطبيقات macOS الرسمية للتحقق من صحة التوقيع الرقمي للتنزيل مباشرةً ، قرر مطورو Zoom إجراء المصادقة بشكل غير مباشر ، من خلال تشغيل أداة macOS المساعدة pkgutil --check-signature في الخلفية وفحص الإخراج.
وهنا مثال على pkgutil الناتج ، باستخدام إصدار قديم من Zoom.pkg حزمة البرامج:
$ pkgutil --check-signature Zoom.pkg Package "Zoom.pkg": الحالة: موقعة بواسطة شهادة مطور صادرة عن Apple للتوزيع موقعة بطابع زمني موثوق به في: 2022-06-27 01:26:22 +0000 سلسلة شهادة : 1. مثبت معرف المطور: Zoom Video Communications، Inc. (BJ4HAAB9B3) تنتهي صلاحيته: 2027-02-01 22:12:15 +0000 SHA256 Fingerprint: 6D 70 1A 84 F0 5A D4 C1 C1 B3 AE 01 C2 EF 1F 2E AE FB 9F 5C A6 80 48 A4 76 60 FF B5 F0 57 BB 8C ----------------------------------- ------------------------------------- 2. تنتهي صلاحية المرجع المصدق لمعرف المطور: 2027-02-01 22:12:15 +0000 SHA256 بصمة الإصبع: 7A FC 9D 01 A6 2F 03 A2 DE 96 37 93 6D 4A FE 68 09 0D 2D E1 8D 03 F2 9C 88 CF B0 B1 BA 63 58 7F -------- -------------------------------------------------- -------------- 3. Apple Root CA تنتهي صلاحيتها: 2035-02-09 21:40:36 +0000 SHA256 بصمة الإصبع: B0 B1 73 0E CB C7 FF 45 05 14 2C 49 F1 29 5E 6E DA 6B CA ED 7E 2C 68 C5 BE 91 B5 A1 10 01 F0 24
لسوء الحظ ، كما اكتشف واردل عندما قام بفك تشفير رمز التحقق من توقيع Zoom ، لم يقم محدث Zoom بمعالجة ملف pkgutil البيانات بنفس الطريقة التي يستخدمها المراقبون البشريون.
سوف نتحقق من الإخراج باتباع التسلسل المرئي المفيد في الإخراج.
أولاً ، سنبحث أولاً عن الحالة المطلوبة ، على سبيل المثال signed by a developer certificate issued by Apple for distribution.
ثم سنجد العنوان الفرعي Certificate Chain:.
أخيرًا ، تحققنا من أن السلسلة تتكون من هؤلاء الموقعين الثلاثة ، بالترتيب الصحيح:
1. Zoom Video Communications، Inc. 2. المرجع المصدق لمعرف المطور 3. Apple Root CA
بشكل مثير للدهشة ، تحقق رمز Zoom ببساطة من أن كل من السلاسل الثلاثة المذكورة أعلاه (دون التحقق حتى من معرف Zoom الفريد BJ4HAAB9B3) ظهر في مكان ما في الإخراج من pkgutil.
لذا ، فإن إنشاء حزمة باسم سخيف ولكن صالح مثل Zoom Video Communications, Inc. Developer ID Certification Authority Apple Root CA.pkg قد يخدع مدقق الحزمة لإيجاد "سلاسل الهوية" التي كانت تبحث عنها.
يتم ترديد اسم الحزمة الكامل في ملف pkgutil رأس الإخراج في السطر الأول ، حيث يتطابق "المدقق" التعساء في Zoom مع جميع السلاسل النصية الثلاثة في الجزء الخطأ من الإخراج.
وبالتالي يمكن تجاوز فحص "الضمان" بشكل تافه.
إصلاح جزئي
يقول واردل إن Zoom قد أصلح هذا الخطأ في النهاية ، بعد أكثر من سبعة أشهر من إبلاغه عنه ، في الوقت المناسب لـ DEF CON ...
... ولكن بعد تطبيق التصحيح ، لاحظ أنه لا تزال هناك فجوة كبيرة في عملية التحديث.
حاول المحدث فعل الشيء الصحيح:
- 1. انقل الحزمة التي تم تنزيلها إلى الدليل الذي يمتلكه الجذر ، وبالتالي من الناحية النظرية محظورة على أي مستخدم عادي.
- 2. تحقق من التوقيع المشفر للحزمة التي تم تنزيلها ، باستخدام واجهات برمجة التطبيقات الرسمية ، وليس عبر واجهة مطابقة نصية ضد
pkgutilالناتج. - 3. قم بإلغاء أرشفة ملف الحزمة الذي تم تنزيله ، من أجل التحقق من رقم الإصدار الخاص به ، لمنع هجمات الرجوع إلى إصدار أقدم.
- 4. قم بتثبيت ملف الحزمة الذي تم تنزيله، باستخدام امتيازات الجذر لعملية التحديث التلقائي.
لسوء الحظ ، على الرغم من أن الدليل المستخدم لتخزين حزمة التحديث كان مملوكًا من قبل الجذر ، في محاولة لإبقائها في مأمن من تحديق المستخدمين الذين يحاولون تخريب ملف التحديث أثناء استخدامه ...
... تم ترك ملف الحزمة الذي تم تنزيله حديثًا "قابل للكتابة عالميًا" في موقعه الجديد (أحد الآثار الجانبية لكونه تم تنزيله بواسطة حساب عادي ، وليس عن طريق الجذر).
أعطى هذا للمهاجمين المحليين ثغرة لتعديل حزمة التحديث بعد تم التحقق من صحة توقيعه الرقمي (الخطوة 2) ، دون أن يؤثر ذلك التحقق من تفاصيل الإصدار (الخطوة 3) ، ولكن قبل سيطر المثبت على ملف الحزمة من أجل معالجته بامتيازات الجذر (الخطوة 4).
يُعرف هذا النوع من الأخطاء باسم a حالة السباق، لأن المهاجمين يحتاجون إلى تحديد وقت الانتهاء حتى يعودوا إلى المنزل قبل بدء المثبت مباشرة ، وبالتالي عليهم أن يتسللوا إلى تغييراتهم الضارة قبل ذلك مباشرة.
ستسمع أيضًا هذا النوع من الثغرات الأمنية التي يُشار إليها بالاختصار ذي الصوت الغريب توكتو، باختصار ل وقت التحقق من وقت الاستخدام، اسم يعد تذكيرًا واضحًا بأنه إذا قمت بفحص الحقائق الخاصة بك قبل وقت طويل جدًا ، فقد تكون قديمة بحلول الوقت الذي تعتمد فيه عليها.
تكمن مشكلة TOCTOU في السبب في أن شركات تأجير السيارات في المملكة المتحدة لم تعد تطلب فقط رؤية رخصة القيادة الخاصة بك ، والتي كان من الممكن إصدارها منذ ما يصل إلى 10 سنوات ، وكان من الممكن تعليقها أو إلغاؤها لعدة أسباب منذ ذلك الحين ، على الأرجح بسبب القيادة غير الآمنة أو غير القانونية من جانبك. جنبًا إلى جنب مع الترخيص المادي الخاص بك ، تحتاج أيضًا إلى تقديم رمز "إثبات صلاحية حديث" أبجدي رقمي لمرة واحدة ، تم إصداره خلال 21 يومًا الماضية ، لتقليل فجوة TOCTOU المحتملة من 10 سنوات إلى ثلاثة أسابيع فقط.
الإصلاح الآن في
وفقًا لـ Wardle ، منع Zoom الآن هذا الخطأ عن طريق تغيير حقوق الوصول في ملف حزمة التحديث الذي تم نسخه في الخطوة 1 أعلاه.
أصبح الملف المستخدم للتحقق من التوقيع والتحقق من صحة الإصدار والتثبيت النهائي على مستوى الجذر مقصورًا الآن على الوصول بواسطة حساب الجذر فقط في جميع الأوقات.
يؤدي هذا إلى إزالة شرط السباق ، لأن المهاجم غير المتميز لا يمكنه تعديل الملف بين نهاية الخطوة 2 (التحقق بنجاح) وبداية الخطوة 4 (يبدأ التثبيت).
لتعديل ملف الحزمة من أجل خداع النظام لمنحك حق الوصول إلى الجذر ، ستحتاج إلى الوصول إلى الجذر بالفعل ، لذلك لن تحتاج إلى خطأ في EoP من هذا النوع في المقام الأول.
لا تنطبق مشكلة TOCTOU لأن الإيداع في الخطوة 2 يظل صالحًا حتى يبدأ استخدام الملف ، ولا يترك أي فرصة سانحة للشيك ليصبح غير صالح.
ماذا ستفعلين.. إذًا؟
إذا كنت تستخدم Zoom على جهاز Mac ، فافتح التطبيق ثم في شريط القائمة ، انتقل إلى zoom.us > Check for Updates...
إذا كان هناك تحديث متاح ، فسيتم عرض الإصدار الجديد ، ويمكنك النقر فوق [Install] لتطبيق التصحيحات:
الإصدار الذي تريده هو 5.11.5 (9788) او فيما بعد.
- سلسلة كتلة
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- CVE-2022-28756
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- Kaspersky
- ماك
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- NexBLOC
- OS X
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- VPN
- الضعف
- اردل
- أمن الانترنت
- زفيرنت
- زوم
![S3 Ep99: "هجوم" TikTok - هل كان هناك خرق للبيانات أم لا؟ [صوت + نص] ذكاء بيانات PlatoBlockchain. البحث العمودي. عاي.](https://platoblockchain.com/wp-content/uploads/2022/09/moth-1200-300x156.jpg "S3 Ep99: \"هجوم\" TikTok - هل كان هناك خرق للبيانات أم لا؟ [صوت + نص]")
![S3 Ep90: Chrome 0-day مرة أخرى ، True Cybercrime ، وتجاوز 2FA [Podcast + Transcript] PlatoBlockchain Data Intelligence. البحث العمودي. عاي.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-1200-logo-podcast-300x157.png "S3 الحلقة 90: Chrome 0-day مرة أخرى ، True Cybercrime وتجاوز 2FA [Podcast + Transcript]"){kind=logo}
