邮箱网讯 4月5日消息 安全人员Mikko Kentt l 发现了Apple Mail中的一个零点击漏洞,利用该漏洞可以在Mail的沙箱环境中添加或修改任何文件。这样可以导致用户劫持可以未经授权就将敏感信息泄露给第三方。攻击者可以修改受害者的邮件配置实现邮件重定向,然后从通过重置密码来获取受害者账户。还可以用来更改受害者的配置,以其名义用蠕虫方式将攻击其他用户。苹果修补了此漏洞。
技术细节
Mac Mail具备自动解压缩由另一个用户自动压缩的附件的功能。在有效的用例:用户创建电子邮件并将文件夹添加为附件,它将使用zip和x-mac-auto-archive = yes自动压缩;并被添加到MIME标头中。当另一个用户收到此电子邮件时,压缩的附件数据将自动解压缩。
在过程中,发现苹果Mail处理中未压缩数据的一部分未从临时目录中清除,并且该目录在Mail上下文中不是唯一的,可以利用压缩文件中内部符号链接$MPDIR到 /Library/Mail进行未经授权的写访问。
攻击者发送电子邮件漏洞利用程序,其中包括两个zip附件。当用户收到电子邮件后,Mail会对其进行解析,以找出所有带有x-mac-auto-archive = yes标头的附件。 Mail将自动解压缩这些文件。
第一阶段
第一个zip包含一个名为Mail的符号链接,指向受害者“$HOME/Library/Mail”和文件1.txt。压缩文件将解压缩为“$TMPDIR/com.apple.mail/bom/”。根据“filename = 1.txt.zip”标头,将1.txt复制到邮件目录,一切正常。但是,清理未正确完成,并且符号链接保留在原处。
第二阶段
第二个附加的zip包含要对“$HOME/Library/Mail”进行的更改,提供Library/Mail的任意文件写入权限。
示例案例中为Mail应用程序编写了一个新的Mail规则。这样,就可以向受害者的邮件应用程序添加自动转发规则。
Mail/ZCZPoC仅包含一个纯文本文件,该文件将被写入 /Library/Mail。
覆盖邮件规则列表
然后该目录下的文件可以被覆盖,比如RulesActiveState.plist和SyncedRules.plist文件。
RulesActiveState.plist中的主要内容是激活SyncedRules.plist中的规则。
SyncedRules.plist包含一个匹配“AnyMessage”的规则,并且此PoC中的规则将Mail应用程序设置为在收到任何消息时播放莫尔斯声音。
莫尔斯码发声的代码也可以修改为其他可以执行的操作,比如转发规则用来上传敏感的电子邮件信息。
影响
这种任意的写访问权限使攻击者可以操纵$HOME/Library/Mail中的所有文件。如部分图示,可以用来操纵Mail应用程序的配置将敏感数据暴露给第三方。可用的配置选项之一是用户的签名,该签名可用于扩大漏洞的扩散和影响。也有可能导致远程代码执行(RCE)漏洞。