Auf dem bekannten DEF CON-Sicherheits-Shindig in Las Vegas, Nevada, letzte Woche, Mac-Cybersicherheitsforscher Patrick Wardle enthüllt ein „Get-Root“ Erhöhung des Privilegs (EoP) Fehler in Zoom für Mac:
Mahalo an alle, die zu mir kamen @defkon rede „Du bist M̶u̶t̶e̶d̶ Rooted“ 🙏🏽
War begeistert, über (& Live-Demo 😅) eine lokale priv-esc-Schwachstelle in Zoom (für macOS) zu sprechen.
Aktuell gibt es keinen Patch 👀😱
Folien mit vollständigen Details und PoC-Exploit: https://t.co/viee0Yd5o2 #0day pic.twitter.com/9dW7DdUm7P
- Patrick Wardle (@patrickwardle) 12. August 2022
In dem Tweet, der seinem Vortrag folgte [2022-08-12], bemerkte Wardle:
Derzeit gibt es keinen Patch [:FRIED-EGG EYES DEPICTING ALARM EMOJI:] [:EDVARD MUNCH SCREAM EMOJI:]
Zoom arbeitete sofort an einem Patch für den Fehler, der am nächsten Tag angekündigt wurde Zoom-Sicherheitsbulletin ZSB-22018, verdient eine Gratulation antworten von Wardle dabei:
Mahalos an @Zoom für die (unglaublich) schnelle Lösung! [:BEIDE HÄNDE ZUR FEIER ERHOBEN UND UM EMOJI WICKELN:] [:HANDFLÄCHEN ZUM ZEICHEN DES SPIRITUELLEN GUTEN WILLENS EMOJI ZUSAMMENGEDRÜCKT:]
Zero-Day-Offenlegung
Angesichts der scheinbaren Geschwindigkeit und Leichtigkeit, mit der Zoom einen Patch für den Fehler herausgeben konnte, wurde er genannt CVE-2022-28756, fragen Sie sich wahrscheinlich, warum Wardle Zoom nicht im Voraus über den Fehler informiert und den Tag seiner Rede als Frist für die Offenlegung der Details festgelegt hat.
Das hätte Zoom Zeit gegeben, das Update seinen vielen Mac-Benutzern zur Verfügung zu stellen (oder es zumindest denjenigen zur Verfügung zu stellen, die daran glauben früh patchen/oft patchen), wodurch die Lücke zwischen Wardle, der der Welt erklärt, wie man den Fehler missbraucht, und dem Patchen des Fehlers beseitigt wird.
Tatsächlich scheint Wardle vor einigen Monaten sein Bestes getan zu haben, um Zoom vor diesem Fehler und einer Reihe miteinander verbundener Fehler in Zooms Autoupdate-Prozess zu warnen.
Wardle erklärt den Zeitplan für die Offenlegung von Fehlern in der Folien aus seinem DEF CON-Vortrag, und listet einen Strom von Zoom-Updates auf, die sich auf die von ihm entdeckten Fehler beziehen.
Ein zweischneidiges Schwert
Die Fehler, die Wardle besprach, bezogen sich im Allgemeinen auf den Auto-Update-Mechanismus von Zoom, ein Teil jedes Software-Ökosystems, das ein bisschen wie ein zweischneidiges Schwert ist – eine mächtigere Waffe als ein normales Schwert, aber entsprechend schwieriger sicher zu handhaben.
Die automatische Aktualisierung ist eine unverzichtbare Komponente in jeder modernen Client-Anwendung, da sie die Verteilung kritischer Patches einfacher und schneller macht und den Benutzern hilft, Cybersicherheitslücken zuverlässig zu schließen.
Aber die automatische Aktualisierung bringt eine Menge Risiken mit sich, nicht zuletzt, weil das Update-Tool selbst normalerweise Systemzugriff auf Root-Ebene benötigt.
Das liegt daran, dass die Aufgabe des Updaters darin besteht, die Anwendungssoftware zu überschreiben (etwas, was ein normaler Benutzer nicht tun sollte) und möglicherweise privilegierte Betriebssystembefehle zu starten, um Konfigurationen oder andere Änderungen auf Systemebene vorzunehmen.
Mit anderen Worten, wenn Entwickler nicht aufpassen, könnte genau das Tool, das ihnen hilft, ihre zugrunde liegende App auf dem neuesten Stand und sicherer zu halten, zu einem Brückenkopf werden, von dem aus Angreifer die Sicherheit untergraben könnten, indem sie den Updater dazu verleiten, nicht autorisierte Befehle mit Systemprivilegien auszuführen .
Insbesondere müssen Auto-Update-Programme darauf achten, die zu überprüfen Authentizität der heruntergeladenen Update-Pakete, um Angreifer daran zu hindern, ihnen einfach ein gefälschtes Update-Paket mit zusätzlicher Malware zu füttern.
Sie müssen auch die pflegen Integrität der Update-Dateien, die sie letztendlich verbrauchen, sodass ein lokaler Angreifer das gerade heruntergeladene „bestätigte sichere“ Update-Bundle nicht heimlich in der kurzen Zeit zwischen dem Abrufen und der Aktivierung modifizieren kann.
Die Echtheitsprüfung umgehen
Wie Wardle in seinem erklärt Krepppapier, einer der von ihm entdeckten und offengelegten Fehler war ein Fehler im ersten oben aufgeführten Schritt, als der automatische Updater von Zoom versuchte, die Authentizität des gerade heruntergeladenen Update-Pakets zu überprüfen.
Anstatt die offiziellen macOS-APIs zu verwenden, um die digitale Signatur des Downloads direkt zu validieren, entschieden sich die Zoom-Entwickler, die Authentifizierung indirekt durch Ausführen des macOS-Dienstprogramms durchzuführen pkgutil --check-signature im Hintergrund und prüfen die Ausgabe.
Hier ist ein Beispiel von pkgutil Ausgabe unter Verwendung einer alten Version der Zoom.pkg Softwarepaket:
$ pkgutil --check-signature Zoom.pkg Paket "Zoom.pkg": Status: signiert von einem Entwicklerzertifikat, das von Apple zur Verteilung ausgestellt wurde Signiert mit einem vertrauenswürdigen Zeitstempel am: 2022-06-27 01:26:22 +0000 Zertifikatskette : 1. Entwickler-ID Installer: Zoom Video Communications, Inc. (BJ4HAAB9B3) Läuft ab: 2027-02-01 22:12:15 +0000 SHA256 Fingerabdruck: 6D 70 1A 84 F0 5A D4 C1 C1 B3 AE 01 C2 EF 1F 2E AE FB 9F 5C A6 80 48 A4 76 60 FF B5 F0 57 BB 8C ----------------------------------- ------------------------------------- 2. Entwickler-ID-Zertifizierungsstelle läuft ab: 2027-02-01 22:12:15 +0000 SHA256 Fingerprint: 7A FC 9D 01 A6 2F 03 A2 DE 96 37 93 6D 4A FE 68 09 0D 2D E1 8D 03 F2 9C 88 CF B0 B1 BA 63 58 7F -------- -------------------------------------------------- -------------- 3. Apple Root CA Läuft ab: 2035-02-09 21:40:36 +0000 SHA256 Fingerabdruck: B0 B1 73 0E CB C7 FF 45 05 14 2C 49 F1 29 5E 6E DA 6B CA ED 7E 2C 68 C5 BE 91 B5 A1 10 01 F0 24
Wie Wardle bei der Dekompilierung des Signaturüberprüfungscodes von Zoom feststellte, verarbeitete der Zoom-Updater den Code leider nicht pkgutil Daten auf die gleiche Weise wie menschliche Beobachter.
Wir würden die Ausgabe überprüfen, indem wir der nützlichen visuellen Sequenz in der Ausgabe folgen.
Zuerst würden wir zuerst nach dem gewünschten Status suchen, z signed by a developer certificate issued by Apple for distribution.
Dann würden wir die Unterüberschrift finden Certificate Chain:.
Schließlich würden wir überprüfen, ob die Kette aus diesen drei Unterzeichnern in der richtigen Reihenfolge besteht:
1. Zoom Video Communications, Inc. 2. Entwickler-ID-Zertifizierungsstelle 3. Apple Root CA
Erstaunlicherweise hat der Code von Zoom einfach bestätigt, dass jede der drei oben genannten Zeichenfolgen (nicht einmal nach Zooms eigener eindeutiger ID BJ4HAAB9B3) auftauchte irgendwo in der Ausgabe von pkgutil.
Erstellen Sie also ein Paket mit einem absurden, aber gültigen Namen wie z Zoom Video Communications, Inc. Developer ID Certification Authority Apple Root CA.pkg würde den Paketverifizierer dazu verleiten, die gesuchten „Identitätszeichenfolgen“ zu finden.
Der vollständige Paketname wird in die wiedergegeben pkgutil Ausgabeheader in der ersten Zeile, wo Zooms unglücklicher „Verifizierer“ alle drei Textzeichenfolgen im falschen Teil der Ausgabe finden würde.
Damit konnte die „Sicherheits“-Prüfung trivial umgangen werden.
Eine Teilkorrektur
Wardle sagt, dass Zoom diesen Fehler schließlich behoben hat, mehr als sieben Monate nachdem er ihn gemeldet hatte, rechtzeitig für DEF CON…
…aber nach dem Einspielen des Patches bemerkte er, dass im Update-Prozess immer noch eine Lücke klaffte.
Der Updater hat versucht, das Richtige zu tun:
- 1. Verschieben Sie das heruntergeladene Paket in das Verzeichnis, das root gehört, und damit theoretisch für jeden normalen Benutzer tabu.
- 2. Überprüfen Sie die kryptografische Signatur des heruntergeladenen Pakets. mit offiziellen APIs, nicht über einen Textabgleich dagegen
pkgutilAusgabe. - 3. Entpacken Sie die heruntergeladene Paketdatei. um seine Versionsnummer zu überprüfen, um Downgrade-Angriffe zu verhindern.
- 4. Installieren Sie die heruntergeladene Paketdatei, unter Verwendung der Root-Rechte des automatischen Aktualisierungsprozesses.
Obwohl das Verzeichnis, das zum Speichern des Update-Pakets verwendet wurde, Root gehörte, wurde leider versucht, es vor neugierigen Benutzern zu schützen, die versuchen, die Update-Datei zu untergraben, während sie verwendet wurde …
… die neu heruntergeladene Paketdatei an ihrem neuen Ort „weltbeschreibbar“ blieb (ein Nebeneffekt, wenn sie von einem regulären Konto heruntergeladen wurde, nicht von root).
Dies verschaffte lokalen Angreifern eine Lücke, um das Update-Paket zu modifizieren nachdem seine digitale Signatur wurde validiert (Schritt 2), Ohne zu beeinträchtigen die Details der Versionsprüfung (Schritt 3), aber kurz bevor Das Installationsprogramm übernahm die Kontrolle über die Paketdatei, um sie mit Root-Rechten zu verarbeiten (Schritt 4).
Diese Art von Fehler wird als Rennzustand, da die Angreifer ihr Ende so planen müssen, dass sie kurz vor dem Start des Installationsprogramms nach Hause kommen, und daher ihre böswilligen Änderungen kurz davor einschleusen müssen.
Sie werden auch diese Art von Schwachstelle hören, auf die sich das exotisch klingende Akronym bezieht TOCTOU, kurz für Zeitpunkt der Überprüfung bis zur Verwendungszeit, ein Name, der eine klare Erinnerung daran ist, dass, wenn Sie Ihre Fakten zu früh im Voraus überprüfen, sie möglicherweise veraltet sind, wenn Sie sich darauf verlassen.
Das TOCTOU-Problem besteht darin, dass Autovermietungen in Großbritannien nicht mehr einfach darum bitten, Ihren Führerschein zu sehen, der vor bis zu 10 Jahren ausgestellt und seither aus verschiedenen Gründen ausgesetzt oder annulliert worden sein könnte, höchstwahrscheinlich weil von unsicherem oder illegalem Fahren Ihrerseits. Zusammen mit Ihrer physischen Lizenz müssen Sie auch einen einmaligen alphanumerischen „Nachweis der Gültigkeitsdauer“ vorlegen, der innerhalb der letzten 21 Tage ausgestellt wurde, um die potenzielle TOCTOU-Lücke von 10 Jahren auf nur drei Wochen zu reduzieren.
Der Fix ist jetzt drin
Laut Wardle hat Zoom diesen Fehler nun verhindert, indem die Zugriffsrechte auf die Update-Paketdatei geändert wurden, die in Schritt 1 oben kopiert wurde.
Die Datei, die für die Signaturprüfung, die Versionsvalidierung und die endgültige Installation auf Root-Ebene verwendet wird, ist jetzt jederzeit auf den Zugriff durch das Root-Konto beschränkt.
Dadurch wird die Racebedingung entfernt, da ein nicht privilegierter Angreifer die Datei zwischen dem Ende von Schritt 2 (Überprüfung erfolgreich) und der Beginn von Schritt 4 (Installation beginnt).
Um die Paketdatei zu ändern, um das System dazu zu bringen, Ihnen Root-Zugriff zu geben, müssten Sie bereits Root-Zugriff haben, sodass Sie einen EoP-Fehler dieser Art überhaupt nicht benötigen würden.
Das TOCTOU-Problem tritt nicht auf, da die Prüfung in Schritt 2 gültig bleibt, bis die Verwendung der Datei beginnt, und es kein Zeitfenster für die ungültige Prüfung gibt.
Was ist zu tun?
Wenn Sie Zoom auf einem Mac verwenden, öffnen Sie die App und gehen Sie dann in der Menüleiste zu zoom.us > Check for Updates...
Wenn ein Update verfügbar ist, wird die neue Version angezeigt und Sie können darauf klicken [Install] So wenden Sie die Patches an:
Die gewünschte Version ist 5.11.5 (9788) oder höher.
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- CVE-2022-28756
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Kaspersky
- MacOS
- Malware
- McAfee
- Nackte Sicherheit
- NexBLOC
- OS X
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Verwundbarkeit
- Wardle
- Website-Sicherheit
- Zephyrnet
- Zoom
