میک پیچ کے لیے زوم کریں گیٹ روٹ بگ – ابھی اپ ڈیٹ کریں! پلیٹو بلاکچین ڈیٹا انٹیلی جنس۔ عمودی تلاش۔ عی

میک پیچ کے لیے زوم کریں گیٹ روٹ بگ – ابھی اپ ڈیٹ کریں!

ٹائم سٹیمپ: 15 اگست 2022 شام 12:26 بجے

by
پال ڈکلن

گزشتہ ہفتے لاس ویگاس، نیواڈا میں معروف DEF CON سیکورٹی شنڈیگ میں، میک سائبرسیکیوریٹی محقق پیٹرک وارڈل نازل کیا ایک "جڑ حاصل کرنا" استحقاق کی بلندی میک کے لیے زوم میں (EoP) بگ:

ٹویٹ میں، جو ان کی گفتگو [2022-08-12] کے بعد ہوا، وارڈل نے نوٹ کیا:

فی الحال کوئی پیچ نہیں ہے [:FRIED-EGG EYES PICTING ALARM EMOJI:] [:Edvard MUNCH SCREAM EMOJI:]

زوم نے فوری طور پر اس خامی کے لیے ایک پیچ پر کام کیا، جس کا اعلان اگلے دن کیا گیا۔ زوم سیکیورٹی بلیٹن ZSB-22018، مبارکباد حاصل کرنا جواب اس عمل میں وارڈل سے:

(ناقابل یقین حد تک) فوری حل کے لیے @Zoom پر مہلوس! [:جشن کے موقع پر دونوں ہاتھ اٹھائے ہوئے اور ایموجی کے بارے میں ہل رہے ہیں:] [:روحانی خیر سگالی ایموجی کی علامت میں ہتھیلیوں کو ایک ساتھ دبایا گیا:]

صفر دن کا انکشاف

ظاہری رفتار اور آسانی کو دیکھتے ہوئے جس کے ساتھ زوم بگ کے لیے ایک پیچ خارج کرنے کے قابل تھا، ڈب CVE-2022-28756، آپ شاید سوچ رہے ہوں گے کہ وارڈل نے زوم کو بگ کے بارے میں پہلے سے کیوں نہیں بتایا، اپنی تقریر کے دن کو تفصیلات ظاہر کرنے کی آخری تاریخ کے طور پر مقرر کیا۔

اس سے زوم کو اپنے بہت سے میک صارفین (یا کم از کم اسے ان لوگوں کے لیے دستیاب کرنے کے لیے جو اس پر یقین رکھتے ہیں) کو اپ ڈیٹ کرنے کے لیے وقت دے گا۔ جلدی سے پیچ / اکثر پیچ)، اس طرح وارڈل کے درمیان فرق کو ختم کرتا ہے جو دنیا کو بتاتا ہے کہ بگ کا غلط استعمال کیسے کیا جائے، اور بگ کی پیچیدگی۔

درحقیقت، ایسا لگتا ہے کہ وارڈل نے زوم کو اس بگ کے بارے میں خبردار کرنے کی پوری کوشش کی، اس کے علاوہ کچھ مہینے پہلے، زوم کے آٹو اپ ڈیٹ کے عمل میں ایک دوسرے سے منسلک خامیوں کا ایک گروپ۔

وارڈل میں بگ انکشاف کی ٹائم لائن کی وضاحت کرتا ہے۔ اس کی DEF CON گفتگو سے سلائیڈز، اور اس کی دریافت کردہ خامیوں سے متعلق زوم اپ ڈیٹس کے سلسلے کی فہرست دیتا ہے۔

ایک دو دھاری تلوار

وارڈل نے جن بگز پر تبادلہ خیال کیا وہ عام طور پر زوم کے آٹو اپ ڈیٹ میکانزم سے متعلق ہیں، جو کسی بھی سافٹ ویئر ایکو سسٹم کا ایک حصہ ہے جو کہ دو دھاری تلوار کا تھوڑا سا حصہ ہے – ایک عام تلوار سے زیادہ طاقتور ہتھیار، لیکن اسی طرح محفوظ طریقے سے سنبھالنا مشکل ہے۔

کسی بھی جدید کلائنٹ ایپلی کیشن میں آٹو اپڈیٹنگ ایک لازمی جزو ہے، اس لیے کہ یہ اہم پیچ کو آسانی سے اور تیز تر تقسیم کرتا ہے، اس طرح صارفین کو سائبر سیکیورٹی کے سوراخوں کو قابل اعتماد طریقے سے بند کرنے میں مدد ملتی ہے۔

لیکن خود کار طریقے سے اپ ڈیٹ کرنا اس کے ساتھ خطرات کا ایک سمندر لاتا ہے، کم از کم اس وجہ سے کہ اپ ڈیٹ ٹول کو ہی عام طور پر روٹ لیول سسٹم تک رسائی کی ضرورت ہوتی ہے۔

اس کی وجہ یہ ہے کہ اپڈیٹر کا کام ایپلیکیشن سوفٹ ویئر کو اوور رائٹ کرنا ہے (ایسی چیز جو ایک باقاعدہ صارف کو نہیں کرنا چاہئے)، اور شاید کنفیگریشن یا دیگر سسٹم لیول تبدیلیاں کرنے کے لیے مراعات یافتہ آپریٹنگ سسٹم کمانڈز کو لانچ کرنا ہے۔

دوسرے لفظوں میں، اگر ڈویلپر محتاط نہیں ہیں، تو وہی ٹول جو ان کی بنیادی ایپ کو اپ ٹو ڈیٹ اور زیادہ محفوظ رکھنے میں مدد کرتا ہے، ایک ایسا بیچ ہیڈ بن سکتا ہے جہاں سے حملہ آور اپڈیٹر کو سسٹم کے مراعات کے ساتھ غیر مجاز کمانڈز چلانے میں دھوکہ دے کر سیکیورٹی کو خراب کر سکتے ہیں۔ .

خاص طور پر، آٹو اپ ڈیٹ پروگراموں کو تصدیق کرنے کے لیے خیال رکھنے کی ضرورت ہے۔ صداقت اپ ڈیٹ پیکجوں میں سے جو وہ ڈاؤن لوڈ کرتے ہیں، حملہ آوروں کو محض ایک جعلی اپ ڈیٹ بنڈل کھلانے سے روکنے کے لیے، جو اضافی میلویئر کے ساتھ مکمل کرتے ہیں۔

انہیں برقرار رکھنے کی بھی ضرورت ہے۔ سالمیت اپ ڈیٹ فائلوں میں سے جو وہ بالآخر استعمال کرتے ہیں، تاکہ کوئی مقامی حملہ آور چوری چھپے "تصدیق شدہ محفوظ" اپ ڈیٹ بنڈل میں ترمیم نہ کر سکے جو کہ اسے حاصل کرنے اور چالو کیے جانے کے درمیان مختصر عرصے میں ڈاؤن لوڈ کیا گیا ہے۔

صداقت کی جانچ کو پس پشت ڈالنا

جیسا کہ وارڈل نے اس میں وضاحت کی ہے۔ کاغذ, اس نے جو کیڑے دریافت کیے اور انکشاف کیا وہ اوپر درج پہلے مرحلے میں ایک خامی تھی، جب زوم کے آٹو اپڈیٹر نے ابھی ڈاؤن لوڈ کیے گئے اپ ڈیٹ پیکج کی صداقت کی تصدیق کرنے کی کوشش کی۔

ڈاؤن لوڈ کے ڈیجیٹل دستخط کی براہ راست توثیق کرنے کے لیے سرکاری macOS APIs کا استعمال کرنے کے بجائے، زوم ڈویلپرز نے میکوس یوٹیلیٹی کو چلا کر بالواسطہ تصدیق کرنے کا فیصلہ کیا۔ pkgutil --check-signature پس منظر میں اور آؤٹ پٹ کی جانچ کرنا۔

یہاں ایک مثال ہے pkgutil کے پرانے ورژن کا استعمال کرتے ہوئے آؤٹ پٹ Zoom.pkg سافٹ ویئر بنڈل:

$pkgutil --check-signature Zoom.pkg پیکیج "Zoom.pkg": اسٹیٹس: ایپل کی طرف سے تقسیم کے لیے جاری کردہ ایک ڈویلپر سرٹیفکیٹ کے ذریعے دستخط کیے گئے: 2022-06-27 01:26:22 +0000 سرٹیفکیٹ چین پر ایک قابل اعتماد ٹائم اسٹیمپ کے ساتھ دستخط کیے گئے : 1. ڈویلپر ID انسٹالر: Zoom Video Communications, Inc. (BJ4HAAB9B3) میعاد ختم ہونے کی تاریخ: 2027-02-01 22:12:15 +0000 SHA256 فنگر پرنٹ: 6D 70 1A 84 F0 5A D4 C1 C1 E3F A01F FB 2F 1C A2 9 5 A6 80 48 FF B4 F76 60 BB 5C ---------------------------------- -------------------------------------------------- 0. ڈویلپر ID سرٹیفیکیشن اتھارٹی کی میعاد ختم ہو رہی ہے: 57-8-2 2027:02:01 +22 SHA12 فنگر پرنٹ: 15A FC 0000D 256 A7 9F 01 A6 DE 2 03 2 96D 37A FE 93 6 4D 68D E09 0D 2 F1 8C 03 CF B2F------ ------------------------------------------------------------------ -------------- 9. Apple Root CA ختم ہونے کی تاریخ: 88-0-1 63:58:7 +3 SHA2035 فنگر پرنٹ: B02 B09 21 40E CB C36 FF 0000 256 0 1C 73 F0 7 45E 05E DA 14B CA ED 2E 49C 1 C29 BE 5 B6 A6 7 2 F68 5

بدقسمتی سے، جیسا کہ وارڈل نے دریافت کیا جب اس نے زوم کے دستخطی تصدیقی کوڈ کو ڈی کمپائل کیا، زوم اپڈیٹر نے اس پر کارروائی نہیں کی۔ pkgutil ڈیٹا اسی طرح سے جس طرح انسانی مبصرین کریں گے۔

ہم آؤٹ پٹ میں مفید بصری ترتیب کی پیروی کرکے آؤٹ پٹ کو چیک کریں گے۔

سب سے پہلے، ہم مطلوبہ حیثیت کو تلاش کریں گے، جیسے signed by a developer certificate issued by Apple for distribution.

پھر ہم ذیلی سرخی تلاش کریں گے۔ Certificate Chain:.

آخر میں، ہم کراس چیک کریں گے کہ یہ سلسلہ ان تین دستخط کنندگان پر مشتمل ہے، صحیح ترتیب میں:

  1. Zoom Video Communications, Inc. 2. ڈویلپر ID سرٹیفیکیشن اتھارٹی 3. Apple Root CA

حیرت انگیز طور پر، زوم کے کوڈ نے آسانی سے تصدیق کی کہ مذکورہ بالا تین تاروں میں سے ہر ایک (یہاں تک کہ زوم کی اپنی منفرد ID کی بھی جانچ نہیں کر رہا ہے۔ BJ4HAAB9B3) دکھاوا کیا کہیں سے آؤٹ پٹ میں pkgutil.

لہذا، ایک مضحکہ خیز لیکن درست نام کے ساتھ ایک پیکیج بنانا جیسے Zoom Video Communications, Inc. Developer ID Certification Authority Apple Root CA.pkg پیکج کے تصدیق کنندہ کو "شناختی تار" تلاش کرنے کے لیے چال چلائے گا جس کی وہ تلاش کر رہا تھا۔

مکمل پیکیج کا نام میں بازگشت ہے۔ pkgutil پہلی لائن پر آؤٹ پٹ ہیڈر، جہاں زوم کا بے بس "ویریفائر" آؤٹ پٹ کے غلط حصے میں موجود تینوں ٹیکسٹ سٹرنگز سے میل کھاتا ہے۔

اس طرح "سیکیورٹی" چیک کو معمولی طور پر نظرانداز کیا جاسکتا ہے۔

ایک جزوی حل

وارڈل کا کہنا ہے کہ زوم نے بالآخر اس مسئلے کو ٹھیک کر دیا، اس کی اطلاع دینے کے سات ماہ سے زیادہ بعد، DEF CON کے لیے وقت پر…

…لیکن پیچ لگانے کے بعد، اس نے محسوس کیا کہ اپ ڈیٹ کے عمل میں اب بھی ایک خلا موجود ہے۔

اپڈیٹر نے صحیح کام کرنے کی کوشش کی:

  • 1. ڈاؤن لوڈ کردہ پیکیج کو روٹ کی ملکیت والی ڈائریکٹری میں منتقل کریں، اور اس طرح نظریاتی طور پر کسی بھی ریگولر صارف کی حد سے باہر ہے۔
  • 2. ڈاؤن لوڈ کردہ پیکیج کے کرپٹوگرافک دستخط کی تصدیق کریں، سرکاری APIs کا استعمال کرتے ہوئے، نہ کہ متن سے مماثل بوج کے ذریعے pkgutil پیداوار.
  • 3. ڈاؤن لوڈ کردہ پیکیج فائل کو غیر محفوظ کریں، اس کے ورژن نمبر کی تصدیق کرنے کے لیے، ڈاون گریڈ حملوں کو روکنے کے لیے۔
  • 4. ڈاؤن لوڈ کردہ پیکیج فائل کو انسٹال کریں۔, آٹو اپ ڈیٹ کے عمل کے بنیادی مراعات کا استعمال کرتے ہوئے.

بدقسمتی سے، اگرچہ اپ ڈیٹ پیکج کو اسٹور کرنے کے لیے استعمال ہونے والی ڈائرکٹری روٹ کی ملکیت تھی، اس کوشش میں کہ اسے استعمال کرنے والے اپ ڈیٹ فائل کو الٹانے کی کوشش کرنے والے صارفین سے محفوظ رکھیں…

…نئی ڈاؤن لوڈ کردہ پیکج فائل کو اس کے نئے مقام پر "دنیا کے لیے قابل تحریر" چھوڑ دیا گیا تھا (روٹ کے ذریعے نہیں، باقاعدہ اکاؤنٹ کے ذریعے ڈاؤن لوڈ کیے جانے کا ایک ضمنی اثر)۔

اس نے مقامی حملہ آوروں کو اپ ڈیٹ پیکج میں ترمیم کرنے کے لیے ایک خامی فراہم کی۔ کے بعد اس کے ڈیجیٹل دستخط کی توثیق کر دی گئی تھی (مرحلہ 2) متاثر کیے بغیر ورژن چیک کی تفصیلات (مرحلہ 3)، لیکن صرف اس سے پہلے انسٹالر نے پیکیج فائل کو جڑ کے استحقاق کے ساتھ پروسیس کرنے کے لیے اس کا کنٹرول سنبھال لیا (مرحلہ 4)۔

اس قسم کے بگ کے نام سے جانا جاتا ہے۔ ریس کی حالتکیونکہ حملہ آوروں کو اپنی تکمیل کا وقت درکار ہوتا ہے اس لیے وہ انسٹالر کے شروع ہونے سے پہلے گھر پہنچ جاتے ہیں، اور اس لیے وہ اس سے پہلے ہی اپنی بدنیتی پر مبنی تبدیلیوں کو چھپاتے ہیں۔

آپ اس قسم کی کمزوری بھی سنیں گے جس کا حوالہ غیر ملکی آواز والے مخفف کے ذریعے دیا جاتا ہے۔ ٹوکٹو، مختصرا استعمال کے وقت سے چیک کرنے کا وقت, ایک ایسا نام جو ایک واضح یاد دہانی ہے کہ اگر آپ اپنے حقائق کو بہت پہلے چیک کر لیتے ہیں، تو ہو سکتا ہے کہ جب تک آپ ان پر انحصار کریں گے وہ پرانے ہو چکے ہوں گے۔

TOCTOU مسئلہ یہ ہے کہ برطانیہ میں کار کرایہ پر لینے والی کمپنیاں اب صرف آپ کا ڈرائیونگ لائسنس دیکھنے کے لیے نہیں کہتی ہیں، جو 10 سال پہلے تک جاری کیا جا سکتا تھا، اور اس کے بعد سے مختلف وجوہات کی بنا پر معطل یا منسوخ کیا جا سکتا تھا، زیادہ تر امکان ہے کہ آپ کی طرف سے غیر محفوظ یا غیر قانونی ڈرائیونگ۔ اپنے فزیکل لائسنس کے ساتھ، آپ کو 21 سال سے صرف تین ہفتوں تک ممکنہ TOCTOU کے فرق کو کم کرنے کے لیے، پچھلے 10 دنوں کے اندر جاری کردہ ایک بار کا حروف نمبری "حالیہ درستگی کا ثبوت" کوڈ بھی پیش کرنا ہوگا۔

اب ٹھیک ہو گیا ہے۔

وارڈل کے مطابق، زوم نے اب اپ ڈیٹ پیکج فائل پر رسائی کے حقوق کو تبدیل کر کے اس بگ کو روک دیا ہے جو اوپر مرحلہ 1 میں کاپی کیا گیا ہے۔

وہ فائل جو دستخط کی جانچ، ورژن کی توثیق، اور حتمی روٹ لیول انسٹال کے لیے استعمال ہوتی ہے اب صرف روٹ اکاؤنٹ کے ذریعے ہر وقت رسائی تک محدود ہے۔

یہ ریس کی حالت کو ہٹا دیتا ہے، کیونکہ ایک غیر مراعات یافتہ حملہ آور مرحلہ 2 کے اختتام کے درمیان فائل میں ترمیم نہیں کرسکتا (تصدیق کامیاب) اور مرحلہ 4 کا آغاز (تنصیب شروع ہوتی ہے).

سسٹم کو آپ کو روٹ تک رسائی دینے کے لیے پیکج فائل میں ترمیم کرنے کے لیے، آپ کو پہلے سے ہی جڑ تک رسائی کی ضرورت ہوگی، لہذا آپ کو پہلے اس طرح کے EoP بگ کی ضرورت نہیں ہوگی۔

TOCTOU مسئلہ لاگو نہیں ہوتا ہے کیونکہ مرحلہ 2 میں چیک اس وقت تک درست رہتا ہے جب تک کہ فائل کا استعمال شروع نہیں ہو جاتا، چیک کے غلط ہونے کا کوئی موقع نہیں چھوڑتا ہے۔

کیا کیا جائے؟

اگر آپ میک پر زوم استعمال کر رہے ہیں تو ایپ کھولیں اور پھر مینو بار میں، پر جائیں۔ zoom.us > Check for Updates...

اگر کوئی اپ ڈیٹ دستیاب ہے، تو نیا ورژن دکھایا جائے گا، اور آپ کلک کر سکتے ہیں۔ [Install] پیچ کو لاگو کرنے کے لئے:

میک پیچ کے لیے زوم کریں گیٹ روٹ بگ – ابھی اپ ڈیٹ کریں! پلیٹو بلاکچین ڈیٹا انٹیلی جنس۔ عمودی تلاش۔ عی

آپ جو ورژن چاہتے ہیں وہ ہے۔ 5.11.5 (9788) یا بعد میں.

ٹائم اسٹیمپ:

سے زیادہ ننگی سیکیورٹی