Hace unos meses, en el pasado Noviembre de 2014, hablamos de un video que apareció y en el que se veía un exploit que permitía escalar privilegios en una máquina. El grave bug en OS X Yosemite permitía la elevación de privilegios fue denominado Rootpipe. La vulnerabilidad fue descubierta por el hacker sueco Emil Kvarnhammar. Después de todo este tiempo, al final, el pasado 9 de Abril se hizo público el exploit escrito en Python para explotar esta vulnerabilidad de ámbito local.
Hay que recordar que para explotar la escalada de privilegios debemos tener conexión a la máquina remota o encontrarnos físicamente en la máquina OS X. En el siguiente video podemos recordar lo espectacular del exploit y como TrueSec fascinó al mundo de Apple. Fácil y sencillo.
Hay que recordar que para explotar la escalada de privilegios debemos tener conexión a la máquina remota o encontrarnos físicamente en la máquina OS X. En el siguiente video podemos recordar lo espectacular del exploit y como TrueSec fascinó al mundo de Apple. Fácil y sencillo.
Figura 1: Explotación de Rootpipe en OS X
El día 13 de Abril la gente de Metasploit publicó la adaptación del módulo de Rootpipe para el framework. Como nota hay que indicar que realmente hacen uso del exploit en Python, solo que el módulo se encarga de invocarlo. Hay que descargar el módulo Ruby, y además el fichero Python. El primer lo ubicaremos en la ruta exploit/osx/local/rootpipe.rb, mientras que el fichero Python lo almacenaremos en data/exploits/CVE-2015-1130/exploit.py. Si no tenemos en cuenta esto último el módulo no nos podrá funcionar, ya que como se comenta antes, el módulo de Ruby hace uso del código de Python.
Ejecución remota vía Mozilla Firefox
Aprovechándonos de la vulnerabilidad de Firefox, Proxy Prototype Privileged JS Injection, de la versión 31 a la 34, conseguimos una sesión en una máquina remota con OS X, por ejemplo Yosemite 10.10.2.
Figura 2: Sesión en OS X Yosemite a través de la vulnerabilidad en Firefox |
Una vez tenemos la sesión se debe colocar la shell en background, aunque antes podemos visualizar los permisos que se tienen en la shell obtenida a través de Firefox. Se puede visualizar el uid del usuario pablo, y otros grupos a los que dicho usuario pertenece.
Figura 3: Shell sobre OS X Yosemite 10.10.2 |
Elevación de privilegios vía Rootpipe
Ahora sí, cuando dejemos la shell en background configuramos el módulo de explotación local de rootpipe. Hay varios atributos que configurar como son la sesión por la que se lanzará el exploit, en este caso utilizaremos el identificador obtenido anteriormente. Además, el exploit permite configurar que directorio será utilizado por rootpipe para escribir, tanto exploit como payload. Si lo dejamos por defecto escribiremos en /.Trashes, la cual es una carpeta que necesita privilegio para escribir, por lo que si podemos escribir tendrá buena pinta.
Figura 4: Ejecución de rootpipe y obtencion de privilegio |
Como comentamos en Seguridad Apple la semana pasada, Apple ha liberado diferentes actualizaciones, tapando más de 100 agujeros de seguridad, entre sus productos iOS y OS X. Os recomendamos que actualicéis lo antes posible, ya que como podéis observar la suma de vulnerabilidades, entre software de navegación y software nativo pueden provocar que tu OS X otorgue el privilegio a un atacante.
No hay comentarios:
Publicar un comentario