Lỗ hổng bảo mật Zero-Click của Apple Mail cho phép “Email Snooping”.

06/04/2021

Nhà nghiên cứu đang cung cấp thông tin chi tiết về CVE-2020-9922, có thể được kích hoạt chỉ bằng cách gửi đến mục tiêu một email có đính kèm hai tệp .ZIP.

Một lỗ hổng bảo mật zero-click trong MacOS Mail của Apple sẽ cho phép hacker thêm hoặc sửa đổi bất kỳ arbitrary file nào bên trong Mail’s sandbox environment, dẫn đến một loạt các kiểu tấn công kéo theo.

Theo Mikko Kenttälä, người sáng lập và Giám đốc điều hành của SensorFu, việc khai thác lỗi này có thể dẫn đến việc tiết lộ trái phép thông tin nhạy cảm cho bên thứ ba; khả năng sửa đổi cấu hình Mail của nạn nhân, bao gồm chuyển hướng thư cho phép chiếm lấy các tài khoản khác của nạn nhân thông qua đặt lại mật khẩu; và khả năng thay đổi cấu hình của nạn nhân để cuộc tấn công có thể lan truyền tới những người ghi thư theo kiểu worm-like.

Mặc dù nhà nghiên cứu hiện đang cung cấp thông tin chi tiết về lỗi, nhưng nó đã được vá trong macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5, vì vậy người dùng nên cập nhật.

Kenttälä cho biết anh đã phát hiện ra lỗi (CVE-2020-9922) bằng cách gửi tin nhắn thử nghiệm và làm theo các Mail process syscalls..

Anh ấy nhận thấy rằng “mail có một tính năng cho phép nó tự động giải nén các tệp đính kèm đã được nén tự động bởi một người dùng Mail khác,” anh ấy giải thích. “Trong trường hợp sử dụng hợp lệ, nếu người dùng tạo email và thêm thư mục dưới dạng tệp đính kèm, nó sẽ được tự động nén với ZIP và x-mac-auto-archive = yes; được thêm vào MIME header. Khi một người dùng Mail khác nhận được email này, dữ liệu tệp đính kèm đã nén sẽ tự động được giải nén. ”

Tuy nhiên, nhà nghiên cứu phát hiện ra rằng các phần của dữ liệu không nén thì không bị xóa khỏi thư mục tạm thời – và thư mục đó phục vụ nhiều chức năng, cho phép hacker xoay quanh trong phạm vị “môi trường”.

“[Nó] không phải là duy nhất trong hoàn cảnh của Mail, điều này có thể được tận dụng để có được quyền truy cập ghi trái phép vào ~ / Library / Mail và vào $ TMPDIR bằng cách sử dụng các symlink bên trong các tệp nén đó,” Kenttälä giải thích.

Con đường của Zero-Click attacks.

Để khai thác lỗi, hacker có thể gửi email hai tệp .ZIP dưới dạng tệp đính kèm cho nạn nhân, theo phân tích. Khi người dùng nhận được email, Mail sẽ phân tích cú pháp để tìm bất kỳ tệp đính kèm nào có tiêu đề x-mac-auto-archive = yes. Sau đó, Mail sẽ tự động giải nén các tệp đó.

“.ZIP đầu tiên bao gồm một liên kết tượng trưng có tên Mail chỉ đến $ HOME / Library / Mail của nạn nhân và tệp 1.txt,” Kenttälä nói. “.ZIP được giải nén thành $ TMPDIR / com.apple.mail / bom /. Dựa trên tiêu đề filename = 1.txt.zip, 1.txt được sao chép vào mail director và mọi thứ hoạt động như mong đợi. Tuy nhiên, nếu việc dọn dẹp không được thực hiện theo đúng cách và symlink vẫn còn nguyên vị trí. ”

Symlink sót lại này cố định và làm nền tảng cho giai đoạn thứ hai của cuộc tấn công.

“.ZIP đính kèm thứ hai bao gồm những thay đổi mà bạn muốn thực hiện đối với $ HOME / Library / Mail. Điều này sẽ cung cấp quyền ghi arbitrary file vào Library/Mail, ”nhà nghiên cứu giải thích. “Trong trường hợp ví dụ của tôi, tôi đã viết các quy tắc Mail mới cho ứng dụng. Cùng với đó, có thể thêm quy tắc tự động chuyển tiếp vào ứng dụng Mail của nạn nhân ”.

Arbitrary write access ý này có nghĩa là hacker có thể thao túng tất cả các tệp trong $ HOME / Library / Mail, ông nói thêm.

CVE-2020-9922 được xếp hạng 6,5 trên thang điểm CVSS vulnerability-severity ,mức độ nghiêm trọng trung bình, nhưng nhà nghiên cứu nhấn mạnh rằng việc khai thác thành công có thể “dẫn đến nhiều điều tồi tệ”.

Ông nói: “Như đã trình bày, điều này sẽ dẫn đến việc lộ dữ liệu nhạy cảm cho bên thứ ba thông qua việc thao túng cấu hình của ứng dụngMail. “Một trong những tùy chọn cấu hình có sẵn là chữ ký của người dùng có thể được sử dụng để làm cho lỗ hổng bảo mật này có thể vận hành như “worm”. Cũng có khả năng điều này có thể dẫn đến lỗ hổng Remote code-execution (RCE), tuy nhiên tôi đã không đồng ý và nghĩ tới điều này.”
nguồn : threatpost