图片:mbog14
安全研究员 mbog14 发布了影响 iTunes 版本 12.13.2.3 的严重本地特权提升 (LPE) 漏洞的技术细节和概念验证,该漏洞被标识为 CVE-2024-44193 (CVSS 8.4)。Apple 已于 2024 年 9 月 12 日修复此漏洞,攻击者可通过利用与 iTunes 一起安装的 AppleMobileDeviceService.exe 组件的漏洞,在 Windows 计算机上获得系统级访问权限。
该漏洞是由于对目录 C:ProgramDataApple* 中的用户权限处理不当造成的。低权限用户(例如本地“用户”组中的用户)拥有对此目录的写入权限,这为攻击者利用该服务打开了方便之门。通过重新启动 AppleMobileDeviceService.exe 服务(任何非特权用户都可以触发此操作),攻击者可以利用文件/文件夹删除原语在系统级别执行任意代码。
正如 mbog14 所解释的那样,“ SYSTEM 进程将递归查询 C:ProgramDataAppleLockdown* 路径内的子目录,并在启用“关闭时删除”选项的情况下删除文件。”此行为允许攻击者制作 NTFS 连接点,指示服务删除特定文件,从而可能导致 SYSTEM 权限提升。
AppleMobileDeviceService.exe | 图片:mbog14
为了利用 CVE-2024-44193,mbog14 演示了如何使用 NTFS 连接(类似于 Linux 中的符号链接)将文件删除重定向到系统的敏感区域。通过精心准备连接并利用 Windows 的 MSI 回滚技巧,可以触发该漏洞以覆盖 C:Program FilesCommon Filesmicrosoft sharedink 目录中的关键文件(如 HID.DLL)。这最终会导致生成 SYSTEM shell。
概念验证(PoC)由研究人员描述的五个关键步骤组成:
-
在 Lockdown 目录上设置 oplock,以便在正确的时间停止该进程。
-
重新启动 Apple 服务,允许进程遵循 NTFS 连接。
-
准备一个 MSI 回滚技巧,确保在删除过程中使用恶意回滚脚本。
-
准备 NTFS 连接点,将文件删除操作指向 MSI 安装程序。
-
释放 oplock,从而触发竞争条件,允许编写和执行恶意脚本
mbog14解释了最后一步,其中漏洞利用以 SYSTEM shell 结束:“因为我们已经使用恶意回滚脚本覆盖了 C:Program FilesCommon Filesmicrosoft sharedink 中的 HID.DLL,所以 CMD shell 会以 SYSTEM 身份弹出,从而完成我们的漏洞利用。”
Apple 已在最新版本的 iTunes 中修复了此漏洞,强烈建议用户更新至 12.13.2.3 或更高版本。然而,此漏洞提醒用户,应谨慎管理敏感目录的服务权限和用户访问,尤其是那些以提升权限运行的目录。
对于有兴趣复制 CVE-2024-44193 概念验证漏洞的安全专业人员和研究人员,mbog14在其 GitHub 存储库上提供了详细的文档和工具。
https://github.com/mbog14/CVE-2024-44193
原文始发于微信公众号(独眼情报):【PoC】 iTunes 的windows版本存在本地提权0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论