Menú principal

martes, 14 de abril de 2015

[PoC] El exploit Rootpipe ha sido liberado para Metasploit

Hace unos meses, en el pasado Noviembre de 2014,  hablamos de un video que apareció y en el que se veía un exploit que permitía escalar privilegios en una máquina. El grave bug en OS X Yosemite permitía la elevación de privilegios fue denominado Rootpipe. La vulnerabilidad fue descubierta por el hacker sueco Emil Kvarnhammar. Después de todo este tiempo, al final, el pasado 9 de Abril se hizo público el exploit escrito en Python para explotar esta vulnerabilidad de ámbito local.

Hay que recordar que para explotar la escalada de privilegios debemos tener conexión a la máquina remota o encontrarnos físicamente en la máquina OS X. En el siguiente video podemos recordar lo espectacular del exploit y como TrueSec fascinó al mundo de Apple. Fácil y sencillo.

Figura 1: Explotación de Rootpipe en OS X

El día 13 de Abril la gente de Metasploit publicó la adaptación del módulo de Rootpipe para el framework. Como nota hay que indicar que realmente hacen uso del exploit en Python, solo que el módulo se encarga de invocarlo. Hay que descargar el módulo Ruby, y además el fichero Python. El primer lo ubicaremos en la ruta exploit/osx/local/rootpipe.rb, mientras que el fichero Python lo almacenaremos en data/exploits/CVE-2015-1130/exploit.py. Si no tenemos en cuenta esto último el módulo no nos podrá funcionar, ya que como se comenta antes, el módulo de Ruby hace uso del código de Python.

Ejecución remota vía Mozilla Firefox

Aprovechándonos de la vulnerabilidad de Firefox, Proxy Prototype Privileged JS Injection, de la versión 31 a la 34, conseguimos una sesión en una máquina remota con OS X, por ejemplo Yosemite 10.10.2.

Figura 2: Sesión en OS X Yosemite a través de la vulnerabilidad en Firefox

Una vez tenemos la sesión se debe colocar la shell en background, aunque antes podemos visualizar los permisos que se tienen en la shell obtenida a través de Firefox. Se puede visualizar el uid del usuario pablo, y otros grupos a los que dicho usuario pertenece.

Figura 3: Shell sobre OS X Yosemite 10.10.2

Elevación de privilegios vía Rootpipe

Ahora sí, cuando dejemos la shell en background configuramos el módulo de explotación local de rootpipe. Hay varios atributos que configurar como son la sesión por la que se lanzará el exploit, en este caso utilizaremos el identificador obtenido anteriormente. Además, el exploit permite configurar que directorio será utilizado por rootpipe para escribir, tanto exploit como payload. Si lo dejamos por defecto escribiremos en /.Trashes, la cual es una carpeta que necesita privilegio para escribir, por lo que si podemos escribir tendrá buena pinta.

Figura 4: Ejecución de rootpipe y obtencion de privilegio

Como comentamos en Seguridad Apple la semana pasada, Apple ha liberado diferentes actualizaciones, tapando más de 100 agujeros de seguridad, entre sus productos iOS y OS X. Os recomendamos que actualicéis lo antes posible, ya que como podéis observar la suma de vulnerabilidades, entre software de navegación y software nativo pueden provocar que tu OS X otorgue el privilegio a un atacante.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares