Rootpipe (CVE) — различия между версиями

Материал из Национальной библиотеки им. Н. Э. Баумана
(Добавлены пара внутренних ссылок)
(Исправлены источники)
Строка 19: Строка 19:
 
==История==
 
==История==
 
[[Файл:rootpipe_console.jpg|мини|справа|{{center|Рисунок 1 – Процесс взлома с использованием rootpipe}}]]
 
[[Файл:rootpipe_console.jpg|мини|справа|{{center|Рисунок 1 – Процесс взлома с использованием rootpipe}}]]
Эмиль Кварнхаммар из TrueSec (охранная фирма, которой приписывают открытие) говорит, что обнаружил уязвимость после нескольких дней бинарного анализа. Он рекомендует создавать учетную запись без прав администратора для использования в обычной повседневной работе и с использованием FileVault<ref group=""> Serious security flaw in OS X Yosemite 'Rootpipe // ZDNet. URL: https://www.zdnet.com/article/serious-security-flaw-in-os-x-yosemite-rootpipe/ (дата обращения: 04.06.2019).</ref>.
+
Эмиль Кварнхаммар из TrueSec (охранная фирма, которой приписывают открытие) говорит, что обнаружил уязвимость после нескольких дней бинарного анализа. Он рекомендует создавать учетную запись без прав администратора для использования в обычной повседневной работе и с использованием FileVault<ref name="refs 1" group="Источник"> Serious security flaw in OS X Yosemite 'Rootpipe // ZDNet. URL: https://www.zdnet.com/article/serious-security-flaw-in-os-x-yosemite-rootpipe/ (дата обращения: 04.06.2019).</ref>.
  
 
Более старый эксплойт для той же проблемы был позже опубликован на exploit-db, предполагая, что проблема восходит к июню 2010 года. Похоже, что эксплойт был использован автором во время презентации по Trusteer Rapport на 44con 2011.
 
Более старый эксплойт для той же проблемы был позже опубликован на exploit-db, предполагая, что проблема восходит к июню 2010 года. Похоже, что эксплойт был использован автором во время презентации по Trusteer Rapport на 44con 2011.
  
Об этой уязвимости было сообщено в Apple Inc. в октябре 2014 года. Сообщалось, что она присутствует в версиях OS X 10.7.5, 10.8.2, 10.9.5 и 10.10.2. OS X 10.10.3 была официально исправлена Apple, но Kvarnhammar (с благодарностью Patrick Wardle) написал в блоге, что уязвимость все еще присутствует в этой версии. 1 июля 2015 года Кварнхаммер отметил, что в OS X 10.10.4 были введены дополнительные ограничения, добавив в комментарии два дня спустя, что он полагает, что текущие версии OS X 10.9 (с обновлением безопасности 2015-005) и 10.10 в безопасности<ref group=""> Rootpipe continues: Former NSA staffer finds Mac vulnerability // Digital Trend. URL: https://www.digitaltrends.com/computing/former-nsa-staffer-finds-new-way-to-abuse-rootpipe-vulnerability-in-os-x/ (дата обращения: 04.06.2019).</ref>.
+
Об этой уязвимости было сообщено в Apple Inc. в октябре 2014 года. Сообщалось, что она присутствует в версиях OS X 10.7.5, 10.8.2, 10.9.5 и 10.10.2. OS X 10.10.3 была официально исправлена Apple, но Kvarnhammar (с благодарностью Patrick Wardle) написал в блоге, что уязвимость все еще присутствует в этой версии. 1 июля 2015 года Кварнхаммер отметил, что в OS X 10.10.4 были введены дополнительные ограничения, добавив в комментарии два дня спустя, что он полагает, что текущие версии OS X 10.9 (с обновлением безопасности 2015-005) и 10.10 в безопасности<ref name="refs 2" group="Источник"> Rootpipe continues: Former NSA staffer finds Mac vulnerability // Digital Trend. URL: https://www.digitaltrends.com/computing/former-nsa-staffer-finds-new-way-to-abuse-rootpipe-vulnerability-in-os-x/ (дата обращения: 04.06.2019).</ref>.
  
 
В ноябре 2017 года была обнаружена похожая уязвимость, которая позволяла войти в систему как пользователь root без пароля.
 
В ноябре 2017 года была обнаружена похожая уязвимость, которая позволяла войти в систему как пользователь root без пароля.
  
 
==Признание уязвимости==
 
==Признание уязвимости==
{{цитата|автор = Posted on 2015-07-01 by Emil Kvarnhammar|Большое спасибо Патрику Уордлу, который вдохновил меня начать новые расследования, сказав, что он нашел способ повторно злоупотребить rootpipe после патча в 10.10.3. Когда вчера Apple выпустила подробности об OS X 10.10.4, оказалось, что мы оба сообщили об одной и той же проблеме, CVE-2015-3673.
+
{{цитата|автор = Posted on 2015-07-01 by Emil Kvarnhammar<ref name="refs 3" group="Источник"> Exploiting rootpipe again // TrueSecDev. URL: https://truesecdev.wordpress.com/2015/07/01/exploiting-rootpipe-again/ (дата обращения: 04.06.2019).</ref>|Большое спасибо Патрику Уордлу, который вдохновил меня начать новые расследования, сказав, что он нашел способ повторно злоупотребить rootpipe после патча в 10.10.3. Когда вчера Apple выпустила подробности об OS X 10.10.4, оказалось, что мы оба сообщили об одной и той же проблеме, CVE-2015-3673.
  
 
Исправление для яблок в 10.10.3 заключалось в требовании специального разрешения «com.apple.private.admin.writeconfig» для всех двоичных файлов, обращающихся к службе writeconfig XPC, которую использует rootpipe. Они не сильно изменились в интерфейсе службы XPC. Это означает, что приложения с правами доступа могут (помимо прочего) записывать файлы с произвольным путем / разрешениями. Вскоре после моего полного раскрытия rootpipe (когда была выпущена OS X 10.10.3), Патрик Уордл написал в своем блоге, что нашел способ повторно использовать rootpipe даже после патча. Это сделало меня любопытным исследовать это немного больше.
 
Исправление для яблок в 10.10.3 заключалось в требовании специального разрешения «com.apple.private.admin.writeconfig» для всех двоичных файлов, обращающихся к службе writeconfig XPC, которую использует rootpipe. Они не сильно изменились в интерфейсе службы XPC. Это означает, что приложения с правами доступа могут (помимо прочего) записывать файлы с произвольным путем / разрешениями. Вскоре после моего полного раскрытия rootpipe (когда была выпущена OS X 10.10.3), Патрик Уордл написал в своем блоге, что нашел способ повторно использовать rootpipe даже после патча. Это сделало меня любопытным исследовать это немного больше.
  
Проверка прав была несколько ограничена, я думаю, что все согласились с этим (даже Apple?). Служба XPC используется многими различными частями OS X. На самом деле в моей системе 10.10.3 есть 45 двоичных файлов, которые имеют такое право! Если бы я мог заставить любой из них выполнить код эксплойта rootpipe, исправление от Apple могло бы быть обойдено. Но я не могу изменить существующий двоичный файл, так как это нарушит сигнатуру кода. Я не могу назначить права моей собственной программе, так как система принимает только двоичные файлы, подписанные Apple, для ее хранения. Я не могу внедрить новые темы в существующий процесс, не будучи пользователем root. Это оставило мне только одну опцию: могу ли я сделать бинарную загрузку библиотеки с моим кодом эксплойта? Оказывается, я могу<ref group=""> Exploiting rootpipe again // TrueSecDev. URL: https://truesecdev.wordpress.com/2015/07/01/exploiting-rootpipe-again/ (дата обращения: 04.06.2019).</ref>.}}
+
Проверка прав была несколько ограничена, я думаю, что все согласились с этим (даже Apple?). Служба XPC используется многими различными частями OS X. На самом деле в моей системе 10.10.3 есть 45 двоичных файлов, которые имеют такое право! Если бы я мог заставить любой из них выполнить код эксплойта rootpipe, исправление от Apple могло бы быть обойдено. Но я не могу изменить существующий двоичный файл, так как это нарушит сигнатуру кода. Я не могу назначить права моей собственной программе, так как система принимает только двоичные файлы, подписанные Apple, для ее хранения. Я не могу внедрить новые темы в существующий процесс, не будучи пользователем root. Это оставило мне только одну опцию: могу ли я сделать бинарную загрузку библиотеки с моим кодом эксплойта? Оказывается, я могу.}}
  
 
==Вред для пользователей==
 
==Вред для пользователей==
Строка 43: Строка 43:
 
#Избегайте ежедневного запуска системы с учетной записью администратора. Злоумышленник, который получит контроль над этой учетной записью, в любом случае получит ограниченные привилегии;
 
#Избегайте ежедневного запуска системы с учетной записью администратора. Злоумышленник, который получит контроль над этой учетной записью, в любом случае получит ограниченные привилегии;
 
#Используйте корпоративное шифрование Apple FileVault, которое позволяет шифровать и дешифровать на лету, всегда защищая вашу информацию;
 
#Используйте корпоративное шифрование Apple FileVault, которое позволяет шифровать и дешифровать на лету, всегда защищая вашу информацию;
#Tем не менее, лучший способ защитить себя от таких уязвимостей в безопасности - убедиться, что операционная система, работающая в вашей системе, всегда обновлена и всегда быть осторожной со ссылками и документами, которые другие вам отправляют<ref group=""> Rootpipe — Critical Mac OS X Yosemite Vulnerability Allows Root Access Without Password // The Hacker News. URL: https://thehackernews.com/2014/11/rootpipe-critical-mac-os-x-yosemite.html (дата обращения: 04.06.2019).</ref>.
+
#Tем не менее, лучший способ защитить себя от таких уязвимостей в безопасности - убедиться, что операционная система, работающая в вашей системе, всегда обновлена и всегда быть осторожной со ссылками и документами, которые другие вам отправляют<ref name="refs 4" group="Источник"> Rootpipe — Critical Mac OS X Yosemite Vulnerability Allows Root Access Without Password // The Hacker News. URL: https://thehackernews.com/2014/11/rootpipe-critical-mac-os-x-yosemite.html (дата обращения: 04.06.2019).</ref>.
  
 
==Реакция и действия Apple==
 
==Реакция и действия Apple==
Когда Apple выпустила последнюю версию Mac OS X Yosemite, она утверждала, что исправила существенный недостаток - бэкдор с именем Rootpipe, который постоянно размещался на ее компьютерах с 2011 года. Но из-за некоторой некодифицированной политики Apple в отношении исправлений любой, кто работает под операционной системой ниже 10.10, оставался уязвимым, оставляя десятки миллионов с задокументированными слабостями на своих ПК. И, по словам исследователей, Apple все равно испортила патч, поэтому все компьютеры Mac остаются уязвимыми для атак Rootpipe<ref group=""> Failed Apple Rootpipe Fix Leaves Backdoor On All Macs, Researchers Claim // Forbes. URL: https://www.forbes.com/sites/thomasbrewster/2015/04/19/apple-fails-to-patch-rootpipe/#4ad06e384aa4 (дата обращения: 04.06.2019).</ref>.
+
Когда Apple выпустила последнюю версию Mac OS X Yosemite, она утверждала, что исправила существенный недостаток - бэкдор с именем Rootpipe, который постоянно размещался на ее компьютерах с 2011 года. Но из-за некоторой некодифицированной политики Apple в отношении исправлений любой, кто работает под операционной системой ниже 10.10, оставался уязвимым, оставляя десятки миллионов с задокументированными слабостями на своих ПК. И, по словам исследователей, Apple все равно испортила патч, поэтому все компьютеры Mac остаются уязвимыми для атак Rootpipe<ref name="refs 5" group="Источник"> Failed Apple Rootpipe Fix Leaves Backdoor On All Macs, Researchers Claim // Forbes. URL: https://www.forbes.com/sites/thomasbrewster/2015/04/19/apple-fails-to-patch-rootpipe/#4ad06e384aa4 (дата обращения: 04.06.2019).</ref>.
  
 
Патрик Уордл, бывший сотрудник АНБ, который сейчас возглавляет исследования в охранной фирме Synack, сказал, что он был в полете, когда обнаружил, что он все еще может использовать уязвимость Rootpipe, которая, по сути, открыла путь к высшему уровню привилегий, известному как корневой доступ. Apple установила дополнительные средства управления доступом, чтобы остановить атаки, но код Уордла все еще мог подключаться к уязвимой службе и начать перезаписывать файлы на своем Mac. «У меня был соблазн зайти в магазин Apple сегодня [днем] и попробовать его на моделях дисплеев, но я решил попробовать его на своем персональном ноутбуке (полностью обновленном / исправленном), а также на моей OS X 10.10.3 [виртуальная машина ]», - сказал Уордл FORBES по электронной почте. В своем блоге он сказал, что его эксплойт был «новым, но тривиальным способом для любого локального пользователя, повторно злоупотребляющего Rootpipe».
 
Патрик Уордл, бывший сотрудник АНБ, который сейчас возглавляет исследования в охранной фирме Synack, сказал, что он был в полете, когда обнаружил, что он все еще может использовать уязвимость Rootpipe, которая, по сути, открыла путь к высшему уровню привилегий, известному как корневой доступ. Apple установила дополнительные средства управления доступом, чтобы остановить атаки, но код Уордла все еще мог подключаться к уязвимой службе и начать перезаписывать файлы на своем Mac. «У меня был соблазн зайти в магазин Apple сегодня [днем] и попробовать его на моделях дисплеев, но я решил попробовать его на своем персональном ноутбуке (полностью обновленном / исправленном), а также на моей OS X 10.10.3 [виртуальная машина ]», - сказал Уордл FORBES по электронной почте. В своем блоге он сказал, что его эксплойт был «новым, но тривиальным способом для любого локального пользователя, повторно злоупотребляющего Rootpipe».
Строка 55: Строка 55:
  
 
==Источники==
 
==Источники==
{{reflist|group=""}}
+
{{reflist|group=Источник}}

Версия 01:43, 15 июня 2019

Rootpipe
Логотип уязвимости Rootpipe
Логотип уязвимости Rootpipe
CVE идентификатор(ы) CVE-2015-3673
Дата открытия октябрь 2014 года
Дата исправления 1 июля 2015 года
Первооткрыватель(и) Эмиль Кварнхаммар (TrueSec)
Повреждённое оборудование OS X 10.7.5, 10.8.2, 10.9.5 и 10.10.2. OS X 10.10.3

Rootpipe — это уязвимость, обнаруженная в некоторых версиях OS X, которая позволяет повысить привилегии, в результате чего пользователь с правами администратора или программа с правами администратора, могут получить доступ суперпользователя (root). Это является проблемой, поскольку первая учетная запись пользователя, созданная в OS X по умолчанию, имеет права администратора.Используя другие уязвимости в системе, такие как незащищенный веб-браузер, злоумышленник может использовать rootpipe для получения полного контроля над операционной системой.

История

Рисунок 1 – Процесс взлома с использованием rootpipe

Эмиль Кварнхаммар из TrueSec (охранная фирма, которой приписывают открытие) говорит, что обнаружил уязвимость после нескольких дней бинарного анализа. Он рекомендует создавать учетную запись без прав администратора для использования в обычной повседневной работе и с использованием FileVault[Источник 1].

Более старый эксплойт для той же проблемы был позже опубликован на exploit-db, предполагая, что проблема восходит к июню 2010 года. Похоже, что эксплойт был использован автором во время презентации по Trusteer Rapport на 44con 2011.

Об этой уязвимости было сообщено в Apple Inc. в октябре 2014 года. Сообщалось, что она присутствует в версиях OS X 10.7.5, 10.8.2, 10.9.5 и 10.10.2. OS X 10.10.3 была официально исправлена Apple, но Kvarnhammar (с благодарностью Patrick Wardle) написал в блоге, что уязвимость все еще присутствует в этой версии. 1 июля 2015 года Кварнхаммер отметил, что в OS X 10.10.4 были введены дополнительные ограничения, добавив в комментарии два дня спустя, что он полагает, что текущие версии OS X 10.9 (с обновлением безопасности 2015-005) и 10.10 в безопасности[Источник 2].

В ноябре 2017 года была обнаружена похожая уязвимость, которая позволяла войти в систему как пользователь root без пароля.

Признание уязвимости

« Большое спасибо Патрику Уордлу, который вдохновил меня начать новые расследования, сказав, что он нашел способ повторно злоупотребить rootpipe после патча в 10.10.3. Когда вчера Apple выпустила подробности об OS X 10.10.4, оказалось, что мы оба сообщили об одной и той же проблеме, CVE-2015-3673.

Исправление для яблок в 10.10.3 заключалось в требовании специального разрешения «com.apple.private.admin.writeconfig» для всех двоичных файлов, обращающихся к службе writeconfig XPC, которую использует rootpipe. Они не сильно изменились в интерфейсе службы XPC. Это означает, что приложения с правами доступа могут (помимо прочего) записывать файлы с произвольным путем / разрешениями. Вскоре после моего полного раскрытия rootpipe (когда была выпущена OS X 10.10.3), Патрик Уордл написал в своем блоге, что нашел способ повторно использовать rootpipe даже после патча. Это сделало меня любопытным исследовать это немного больше.

Проверка прав была несколько ограничена, я думаю, что все согласились с этим (даже Apple?). Служба XPC используется многими различными частями OS X. На самом деле в моей системе 10.10.3 есть 45 двоичных файлов, которые имеют такое право! Если бы я мог заставить любой из них выполнить код эксплойта rootpipe, исправление от Apple могло бы быть обойдено. Но я не могу изменить существующий двоичный файл, так как это нарушит сигнатуру кода. Я не могу назначить права моей собственной программе, так как система принимает только двоичные файлы, подписанные Apple, для ее хранения. Я не могу внедрить новые темы в существующий процесс, не будучи пользователем root. Это оставило мне только одну опцию: могу ли я сделать бинарную загрузку библиотеки с моим кодом эксплойта? Оказывается, я могу.
Posted on 2015-07-01 by Emil Kvarnhammar[Источник 3]
»

Вред для пользователей

В случае успешного использования Rootpipe предоставляет полный доступ к Mac. Имеется в виду полный неограниченный доступ к компьютеру. Для многих пользователей это может стать большой проблемой. Дело в том, что Rootpipe предоставляет хакеру возможность получить доступ к аккаунту администратора. У многих на компьютере (а на деле таких процентов 80% пользователей) аккаунт администратора является единственным.

Как защититься

Полное раскрытие уязвимости будет обнародовано в январе, после того как Apple предоставит исправление. Пользователям Apple Yosemite OS X рекомендуется выполнить следующие шаги, чтобы защитить себя от использования Rootpipe:

  1. Избегайте ежедневного запуска системы с учетной записью администратора. Злоумышленник, который получит контроль над этой учетной записью, в любом случае получит ограниченные привилегии;
  2. Используйте корпоративное шифрование Apple FileVault, которое позволяет шифровать и дешифровать на лету, всегда защищая вашу информацию;
  3. Tем не менее, лучший способ защитить себя от таких уязвимостей в безопасности - убедиться, что операционная система, работающая в вашей системе, всегда обновлена и всегда быть осторожной со ссылками и документами, которые другие вам отправляют[Источник 4].

Реакция и действия Apple

Когда Apple выпустила последнюю версию Mac OS X Yosemite, она утверждала, что исправила существенный недостаток - бэкдор с именем Rootpipe, который постоянно размещался на ее компьютерах с 2011 года. Но из-за некоторой некодифицированной политики Apple в отношении исправлений любой, кто работает под операционной системой ниже 10.10, оставался уязвимым, оставляя десятки миллионов с задокументированными слабостями на своих ПК. И, по словам исследователей, Apple все равно испортила патч, поэтому все компьютеры Mac остаются уязвимыми для атак Rootpipe[Источник 5].

Патрик Уордл, бывший сотрудник АНБ, который сейчас возглавляет исследования в охранной фирме Synack, сказал, что он был в полете, когда обнаружил, что он все еще может использовать уязвимость Rootpipe, которая, по сути, открыла путь к высшему уровню привилегий, известному как корневой доступ. Apple установила дополнительные средства управления доступом, чтобы остановить атаки, но код Уордла все еще мог подключаться к уязвимой службе и начать перезаписывать файлы на своем Mac. «У меня был соблазн зайти в магазин Apple сегодня [днем] и попробовать его на моделях дисплеев, но я решил попробовать его на своем персональном ноутбуке (полностью обновленном / исправленном), а также на моей OS X 10.10.3 [виртуальная машина ]», - сказал Уордл FORBES по электронной почте. В своем блоге он сказал, что его эксплойт был «новым, но тривиальным способом для любого локального пользователя, повторно злоупотребляющего Rootpipe».

Однако он не раскрывает свой код атаки, который он передал Apple, в надежде, что в ближайшие месяцы фирма выпустит полное и нерушимое исправление. Когда Apple вначале сообщили о бэкдоре Rootpipe в октябре прошлого года, проблему решали до апреля, однако изначально планировалось исправить ситуацию в январе. Атака требует, чтобы хакер получил локальные привилегии с помощью эксплойта другого программного обеспечения, установленного на Mac. Отдельный исследователь Педро Виласа сказал FORBES через Twitter, что исправление Rootpipe было «обречено с момента его выпуска», заявив, что существует «множество способов обойти его из-за неправильного дизайна исправления», хотя он и не сделал этого. Vilaça обнаружила множество проблем с Mac OS X в последние годы.

В последние месяцы практика безопасности Apple неоднократно обсуждалась. Мало того, что компанию критиковали за то, что она целенаправленно оставляла Rootpipe на множестве компьютеров Mac, еёо попытки защитить устройства iOS также были подорваны немецким исследователем Стефаном Эссером. Во время конференции Syscan в Сингапуре Эссер заявил, что неоднократные попытки Apple закрыть уязвимости iOS не увенчались успехом, оставив их открытыми для так называемых «джейлбрейков», где пользователи могут освободить свой телефон из-под контроля Apple, чтобы установить любое программное обеспечение на iPhone или другой iDevice.

Источники

  1. Serious security flaw in OS X Yosemite 'Rootpipe // ZDNet. URL: https://www.zdnet.com/article/serious-security-flaw-in-os-x-yosemite-rootpipe/ (дата обращения: 04.06.2019).
  2. Rootpipe continues: Former NSA staffer finds Mac vulnerability // Digital Trend. URL: https://www.digitaltrends.com/computing/former-nsa-staffer-finds-new-way-to-abuse-rootpipe-vulnerability-in-os-x/ (дата обращения: 04.06.2019).
  3. Exploiting rootpipe again // TrueSecDev. URL: https://truesecdev.wordpress.com/2015/07/01/exploiting-rootpipe-again/ (дата обращения: 04.06.2019).
  4. Rootpipe — Critical Mac OS X Yosemite Vulnerability Allows Root Access Without Password // The Hacker News. URL: https://thehackernews.com/2014/11/rootpipe-critical-mac-os-x-yosemite.html (дата обращения: 04.06.2019).
  5. Failed Apple Rootpipe Fix Leaves Backdoor On All Macs, Researchers Claim // Forbes. URL: https://www.forbes.com/sites/thomasbrewster/2015/04/19/apple-fails-to-patch-rootpipe/#4ad06e384aa4 (дата обращения: 04.06.2019).