macOS TCC Bypasses
कार्यक्षमता के अनुसार
लिखने का बायपास
यह एक बायपास नहीं है, यह बस TCC कैसे काम करता है: यह लिखने से सुरक्षा नहीं करता। यदि टर्मिनल किसी उपयोगकर्ता के डेस्कटॉप को पढ़ने के लिए एक्सेस नहीं है, तो यह अभी भी उसमें लिख सकता है:
The extended attribute com.apple.macl
नए फाइल में जोड़ा जाता है ताकि निर्माता ऐप को इसे पढ़ने की अनुमति मिल सके।
TCC ClickJacking
यह संभव है कि TCC प्रॉम्प्ट के ऊपर एक विंडो डालें ताकि उपयोगकर्ता इसे स्वीकृत कर सके बिना ध्यान दिए। आप TCC-ClickJacking** में एक PoC पा सकते हैं।**
TCC Request by arbitrary name
हमलावर किसी भी नाम के साथ ऐप्स बना सकता है (जैसे Finder, Google Chrome...) Info.plist
में और इसे कुछ TCC संरक्षित स्थानों तक पहुँच के लिए अनुरोध करने के लिए बना सकता है। उपयोगकर्ता सोचेगा कि वैध एप्लिकेशन ही इस पहुँच के लिए अनुरोध कर रहा है।
इसके अलावा, यह संभव है कि Dock से वैध ऐप को हटा दें और फर्जी ऐप को उस पर रखें, ताकि जब उपयोगकर्ता फर्जी ऐप पर क्लिक करे (जो उसी आइकन का उपयोग कर सकता है) तो यह वैध ऐप को कॉल कर सके, TCC अनुमतियों के लिए पूछ सके और एक मैलवेयर निष्पादित कर सके, जिससे उपयोगकर्ता को विश्वास हो कि वैध ऐप ने पहुँच का अनुरोध किया।
अधिक जानकारी और PoC के लिए:
macOS Privilege EscalationSSH Bypass
डिफ़ॉल्ट रूप से SSH के माध्यम से पहुँच "पूर्ण डिस्क एक्सेस" के साथ होती थी। इसे अक्षम करने के लिए आपको इसे सूचीबद्ध करना होगा लेकिन अक्षम करना होगा (सूची से हटाने से उन विशेषाधिकारों को नहीं हटाया जाएगा):
यहाँ आप देख सकते हैं कि कुछ मैलवेयर ने इस सुरक्षा को बायपास करने में कैसे सक्षम रहे हैं:
ध्यान दें कि अब, SSH सक्षम करने के लिए आपको पूर्ण डिस्क एक्सेस की आवश्यकता है।
Handle extensions - CVE-2022-26767
विशेषता com.apple.macl
फ़ाइलों को दी जाती है ताकि एक विशिष्ट एप्लिकेशन को इसे पढ़ने की अनुमति मिल सके। यह विशेषता तब सेट होती है जब drag&drop के माध्यम से एक फ़ाइल को एक ऐप पर खींचा जाता है, या जब एक उपयोगकर्ता डबल-क्लिक करता है एक फ़ाइल को इसे डिफ़ॉल्ट एप्लिकेशन के साथ खोलने के लिए।
इसलिए, एक उपयोगकर्ता एक दुर्भावनापूर्ण ऐप को पंजीकृत कर सकता है ताकि सभी एक्सटेंशन को संभाल सके और Launch Services को खोलने के लिए कॉल कर सके किसी भी फ़ाइल (ताकि दुर्भावनापूर्ण फ़ाइल को इसे पढ़ने की अनुमति मिल सके)।
iCloud
अधिकार com.apple.private.icloud-account-access
के माध्यम से com.apple.iCloudHelper
XPC सेवा के साथ संवाद करना संभव है जो iCloud टोकन प्रदान करेगा।
iMovie और Garageband के पास यह अधिकार था और अन्य जो अनुमति देते थे।
इस अधिकार से icloud टोकन प्राप्त करने के लिए शोषण के बारे में अधिक जानकारी के लिए इस वार्ता की जाँच करें: #OBTS v5.0: "What Happens on your Mac, Stays on Apple's iCloud?!" - Wojciech Regula
kTCCServiceAppleEvents / Automation
एक ऐप जिसके पास kTCCServiceAppleEvents
अनुमति है, वह अन्य ऐप्स को नियंत्रित करने में सक्षम होगा। इसका मतलब है कि यह अन्य ऐप्स को दी गई अनुमतियों का दुरुपयोग कर सकता है।
Apple Scripts के बारे में अधिक जानकारी के लिए देखें:
macOS Apple Scriptsउदाहरण के लिए, यदि एक ऐप के पास iTerm
पर Automation अनुमति है, तो इस उदाहरण में Terminal
को iTerm पर पहुँच है:
Over iTerm
Terminal, जिसे FDA नहीं है, iTerm को कॉल कर सकता है, जिसे है, और इसका उपयोग क्रियाएँ करने के लिए कर सकता है:
Over Finder
या यदि किसी ऐप को Finder पर पहुंच है, तो यह एक स्क्रिप्ट हो सकती है जैसे कि यह:
By App behaviour
CVE-2020–9934 - TCC
यूजरलैंड tccd daemon HOME
env वेरिएबल का उपयोग करके TCC यूजर्स डेटाबेस तक पहुँच रहा है: $HOME/Library/Application Support/com.apple.TCC/TCC.db
इस Stack Exchange पोस्ट के अनुसार और क्योंकि TCC daemon वर्तमान यूजर के डोमेन के भीतर launchd
के माध्यम से चल रहा है, इसे पास किए गए सभी एनवायरनमेंट वेरिएबल्स को नियंत्रित करना संभव है।
इसलिए, एक हमलावर $HOME
एनवायरनमेंट वेरिएबल को launchctl
में एक नियंत्रित डायरेक्टरी की ओर सेट कर सकता है, TCC daemon को रीस्टार्ट कर सकता है, और फिर TCC डेटाबेस को सीधे संशोधित कर सकता है ताकि वह हर TCC अधिकार प्राप्त कर सके बिना अंत उपयोगकर्ता को कभी भी संकेत दिए।
PoC:
CVE-2021-30761 - नोट्स
नोट्स को TCC संरक्षित स्थानों तक पहुंच प्राप्त थी लेकिन जब एक नोट बनाया जाता है तो यह एक गैर-संरक्षित स्थान में बनाया जाता है। इसलिए, आप नोट्स से एक संरक्षित फ़ाइल को एक नोट में कॉपी करने के लिए कह सकते हैं (तो एक गैर-संरक्षित स्थान में) और फिर फ़ाइल तक पहुंच सकते हैं:
CVE-2021-30782 - ट्रांसलोकेशन
बाइनरी /usr/libexec/lsd
के साथ लाइब्रेरी libsecurity_translocate
में com.apple.private.nullfs_allow
का अधिकार था, जिसने इसे nullfs माउंट बनाने की अनुमति दी और इसमें kTCCServiceSystemPolicyAllFiles
के साथ com.apple.private.tcc.allow
का अधिकार था ताकि हर फ़ाइल तक पहुंच प्राप्त की जा सके।
"Library" में क्वारंटाइन विशेषता जोड़ना संभव था, com.apple.security.translocation
XPC सेवा को कॉल करना और फिर यह लाइब्रेरी को $TMPDIR/AppTranslocation/d/d/Library
पर मैप करेगा जहां लाइब्रेरी के अंदर सभी दस्तावेज़ों को एक्सेस किया जा सकता था।
CVE-2023-38571 - म्यूजिक और टीवी
Music
में एक दिलचस्प विशेषता है: जब यह चल रहा होता है, तो यह ~/Music/Music/Media.localized/Automatically Add to Music.localized
में गिराए गए फ़ाइलों को उपयोगकर्ता की "मीडिया लाइब्रेरी" में आयात करेगा। इसके अलावा, यह कुछ इस तरह कॉल करता है: rename(a, b);
जहां a
और b
हैं:
a = "~/Music/Music/Media.localized/Automatically Add to Music.localized/myfile.mp3"
b = "~/Music/Music/Media.localized/Automatically Add to Music.localized/Not Added.localized/2023-09-25 11.06.28/myfile.mp3
यह rename(a, b);
व्यवहार एक रेस कंडीशन के प्रति संवेदनशील है, क्योंकि यह संभव है कि Automatically Add to Music.localized
फ़ोल्डर के अंदर एक नकली TCC.db फ़ाइल डाली जाए और फिर जब नया फ़ोल्डर(b) बनाया जाए तो फ़ाइल को कॉपी करें, उसे हटा दें, और इसे ~/Library/Application Support/com.apple.TCC
पर इंगित करें।
SQLITE_SQLLOG_DIR - CVE-2023-32422
यदि SQLITE_SQLLOG_DIR="path/folder"
का अर्थ है कि कोई भी खुला db उस पथ पर कॉपी किया जाता है। इस CVE में इस नियंत्रण का दुरुपयोग किया गया था ताकि एक SQLite डेटाबेस के अंदर लिखा जा सके जो FDA TCC डेटाबेस के साथ एक प्रक्रिया द्वारा खुला जाएगा, और फिर SQLITE_SQLLOG_DIR
का दुरुपयोग फाइलनाम में एक सिम्लिंक के साथ किया गया ताकि जब वह डेटाबेस खुला हो, उपयोगकर्ता TCC.db को ओवरराइट किया जाए।
अधिक जानकारी लेख में और बातचीत में।
SQLITE_AUTO_TRACE
यदि पर्यावरण चर SQLITE_AUTO_TRACE
सेट किया गया है, तो लाइब्रेरी libsqlite3.dylib
सभी SQL क्वेरीज़ को लॉगिंग करना शुरू कर देगी। कई अनुप्रयोगों ने इस लाइब्रेरी का उपयोग किया, इसलिए यह सभी SQLite क्वेरीज़ को लॉग करना संभव था।
कई Apple अनुप्रयोगों ने TCC संरक्षित जानकारी तक पहुंच प्राप्त करने के लिए इस लाइब्रेरी का उपयोग किया।
MTL_DUMP_PIPELINES_TO_JSON_FILE - CVE-2023-32407
यह env variable Metal
framework द्वारा उपयोग किया जाता है जो विभिन्न कार्यक्रमों पर निर्भरता है, विशेष रूप से Music
, जिसमें FDA है।
निम्नलिखित सेट करना: MTL_DUMP_PIPELINES_TO_JSON_FILE="path/name"
। यदि path
एक मान्य निर्देशिका है, तो बग सक्रिय होगा और हम fs_usage
का उपयोग करके देख सकते हैं कि कार्यक्रम में क्या हो रहा है:
एक फ़ाइल
open()
की जाएगी, जिसका नामpath/.dat.nosyncXXXX.XXXXXX
होगा (X यादृच्छिक है)एक या अधिक
write()
फ़ाइल में सामग्री लिखेंगे (हम इस पर नियंत्रण नहीं रखते)path/.dat.nosyncXXXX.XXXXXX
कोpath/name
मेंrenamed()
किया जाएगा
यह एक अस्थायी फ़ाइल लेखन है, इसके बाद एक rename(old, new)
जो सुरक्षित नहीं है।
यह सुरक्षित नहीं है क्योंकि इसे पुराने और नए पथों को अलग-अलग हल करना होगा, जो कुछ समय ले सकता है और एक Race Condition के प्रति संवेदनशील हो सकता है। अधिक जानकारी के लिए आप xnu
फ़ंक्शन renameat_internal()
की जांच कर सकते हैं।
तो, मूल रूप से, यदि एक विशेषाधिकार प्राप्त प्रक्रिया एक फ़ोल्डर से नाम बदल रही है जिसे आप नियंत्रित करते हैं, तो आप एक RCE जीत सकते हैं और इसे एक अलग फ़ाइल तक पहुँच बना सकते हैं या, जैसे कि इस CVE में, उस फ़ाइल को खोल सकते हैं जिसे विशेषाधिकार प्राप्त ऐप ने बनाया और एक FD संग्रहीत कर सकते हैं।
यदि नाम बदलने का फ़ोल्डर आप नियंत्रित करते हैं, जबकि आपने स्रोत फ़ाइल को संशोधित किया है या इसके लिए एक FD है, तो आप गंतव्य फ़ाइल (या फ़ोल्डर) को एक symlink की ओर इंगित करने के लिए बदल सकते हैं, ताकि आप जब चाहें लिख सकें।
यह CVE में हमला था: उदाहरण के लिए, उपयोगकर्ता के TCC.db
को अधिलेखित करने के लिए, हम कर सकते हैं:
/Users/hacker/ourlink
बनाएं जो/Users/hacker/Library/Application Support/com.apple.TCC/
की ओर इंगित करता हैनिर्देशिका
/Users/hacker/tmp/
बनाएंसेट करें
MTL_DUMP_PIPELINES_TO_JSON_FILE=/Users/hacker/tmp/TCC.db
इस env var के साथ
Music
चलाकर बग को सक्रिय करें/Users/hacker/tmp/.dat.nosyncXXXX.XXXXXX
काopen()
पकड़ें (X यादृच्छिक है)यहाँ हम इस फ़ाइल को लेखन के लिए भी
open()
करते हैं, और फ़ाइल डिस्क्रिप्टर को पकड़कर रखते हैं/Users/hacker/tmp
को/Users/hacker/ourlink
के साथ एक लूप में परमाणु रूप से स्विच करेंहम ऐसा करते हैं ताकि हमारी सफल होने की संभावनाएँ अधिकतम हो सकें क्योंकि दौड़ की खिड़की काफी संकीर्ण है, लेकिन दौड़ हारने का नुकसान नगण्य है
थोड़ा इंतजार करें
परीक्षण करें कि क्या हमें भाग्यशाली मिला
यदि नहीं, तो फिर से शीर्ष से चलाएँ
अधिक जानकारी के लिए https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html
अब, यदि आप env variable MTL_DUMP_PIPELINES_TO_JSON_FILE
का उपयोग करने की कोशिश करते हैं तो ऐप्स लॉन्च नहीं होंगे
Apple Remote Desktop
रूट के रूप में आप इस सेवा को सक्षम कर सकते हैं और ARD एजेंट को पूर्ण डिस्क एक्सेस होगा जिसे फिर एक उपयोगकर्ता द्वारा नए TCC उपयोगकर्ता डेटाबेस की कॉपी करने के लिए दुरुपयोग किया जा सकता है।
By NFSHomeDirectory
TCC उपयोगकर्ता के HOME फ़ोल्डर में एक डेटाबेस का उपयोग करता है ताकि उपयोगकर्ता के लिए विशिष्ट संसाधनों तक पहुँच को नियंत्रित किया जा सके $HOME/Library/Application Support/com.apple.TCC/TCC.db। इसलिए, यदि उपयोगकर्ता $HOME env variable को विभिन्न फ़ोल्डर की ओर इंगित करके TCC को पुनः प्रारंभ करने में सफल होता है, तो उपयोगकर्ता /Library/Application Support/com.apple.TCC/TCC.db में एक नया TCC डेटाबेस बना सकता है और TCC को किसी भी ऐप को कोई भी TCC अनुमति देने के लिए धोखा दे सकता है।
ध्यान दें कि Apple उपयोगकर्ता के प्रोफ़ाइल में NFSHomeDirectory
विशेषता के भीतर संग्रहीत सेटिंग का उपयोग करता है $HOME
के मान के लिए, इसलिए यदि आप इस मान को संशोधित करने के लिए अनुमतियों के साथ एक एप्लिकेशन से समझौता करते हैं (kTCCServiceSystemPolicySysAdminFiles
), तो आप TCC बायपास के साथ इस विकल्प को हथियारबंद कर सकते हैं।
CVE-2021-30970 - Powerdir
पहला POC dsexport और dsimport का उपयोग करता है ताकि उपयोगकर्ता के HOME फ़ोल्डर को संशोधित किया जा सके।
लक्षित ऐप के लिए एक csreq ब्लॉब प्राप्त करें।
आवश्यक पहुँच और csreq ब्लॉब के साथ एक नकली TCC.db फ़ाइल लगाएँ।
dsexport के साथ उपयोगकर्ता की Directory Services प्रविष्टि को निर्यात करें।
उपयोगकर्ता के होम डायरेक्टरी को बदलने के लिए Directory Services प्रविष्टि को संशोधित करें।
dsimport के साथ संशोधित Directory Services प्रविष्टि को आयात करें।
उपयोगकर्ता के tccd को रोकें और प्रक्रिया को पुनः प्रारंभ करें।
दूसरे POC ने /usr/libexec/configd
का उपयोग किया जिसमें com.apple.private.tcc.allow
था जिसका मान kTCCServiceSystemPolicySysAdminFiles
था।
यह संभव था configd
को -t
विकल्प के साथ चलाने के लिए, एक हमलावर एक कस्टम बंडल लोड करने के लिए निर्दिष्ट कर सकता था। इसलिए, यह शोषण उपयोगकर्ता के होम डायरेक्टरी को बदलने के लिए dsexport
और dsimport
विधि को configd
कोड इंजेक्शन के साथ बदलता है।
अधिक जानकारी के लिए मूल रिपोर्ट देखें।
By process injection
कोई प्रक्रिया के अंदर कोड इंजेक्ट करने और इसके TCC विशेषाधिकारों का दुरुपयोग करने के लिए विभिन्न तकनीकें हैं:
macOS Process Abuseइसके अलावा, TCC को बायपास करने के लिए सबसे सामान्य प्रक्रिया इंजेक्शन प्लगइन्स (लोड लाइब्रेरी) के माध्यम से पाया गया है। प्लगइन्स अतिरिक्त कोड होते हैं जो आमतौर पर लाइब्रेरी या plist के रूप में होते हैं, जिन्हें मुख्य एप्लिकेशन द्वारा लोड किया जाएगा और इसके संदर्भ में निष्पादित किया जाएगा। इसलिए, यदि मुख्य एप्लिकेशन को TCC प्रतिबंधित फ़ाइलों (अनुमतियों या अधिकारों के माध्यम से) तक पहुँच प्राप्त है, तो कस्टम कोड को भी यह प्राप्त होगा।
CVE-2020-27937 - Directory Utility
एप्लिकेशन /System/Library/CoreServices/Applications/Directory Utility.app
में विशेषाधिकार kTCCServiceSystemPolicySysAdminFiles
था, लोड किए गए प्लगइन्स के साथ .daplug
एक्सटेंशन और सुरक्षित रनटाइम नहीं था।
इस CVE को हथियारबंद करने के लिए, NFSHomeDirectory
को बदला गया (पिछले विशेषाधिकार का दुरुपयोग करते हुए) ताकि उपयोगकर्ता के TCC डेटाबेस को कब्जा किया जा सके और TCC को बायपास किया जा सके।
अधिक जानकारी के लिए मूल रिपोर्ट देखें।
CVE-2020-29621 - Coreaudiod
बाइनरी /usr/sbin/coreaudiod
में विशेषाधिकार com.apple.security.cs.disable-library-validation
और com.apple.private.tcc.manager
थे। पहला कोड इंजेक्शन की अनुमति देता है और दूसरा इसे TCC प्रबंधित करने की अनुमति देता है।
इस बाइनरी ने तीसरे पक्ष के प्लगइन्स को फ़ोल्डर /Library/Audio/Plug-Ins/HAL
से लोड करने की अनुमति दी। इसलिए, यह संभव था कि एक प्लगइन लोड करें और इस PoC के साथ TCC अनुमतियों का दुरुपयोग करें:
For more info check the original report.
Device Abstraction Layer (DAL) Plug-Ins
सिस्टम एप्लिकेशन जो Core Media I/O के माध्यम से कैमरा स्ट्रीम खोलते हैं (kTCCServiceCamera
के साथ ऐप्स) इन प्लग-इन्स को लोड करते हैं जो /Library/CoreMediaIO/Plug-Ins/DAL
में स्थित हैं (SIP प्रतिबंधित नहीं)।
वहाँ एक सामान्य कंस्ट्रक्टर के साथ एक लाइब्रेरी को स्टोर करना कोड इंजेक्ट करने के लिए काम करेगा।
कई Apple एप्लिकेशन इस पर कमजोर थे।
Firefox
Firefox एप्लिकेशन में com.apple.security.cs.disable-library-validation
और com.apple.security.cs.allow-dyld-environment-variables
अधिकार थे:
Fore more info about how to easily exploit this check the original report.
CVE-2020-10006
The binary /system/Library/Filesystems/acfs.fs/Contents/bin/xsanctl
had the entitlements com.apple.private.tcc.allow
and com.apple.security.get-task-allow
, which allowed to inject code inside the process and use the TCC privileges.
CVE-2023-26818 - Telegram
Telegram had the entitlements com.apple.security.cs.allow-dyld-environment-variables
and com.apple.security.cs.disable-library-validation
, so it was possible to abuse it to get access to its permissions जैसे कि कैमरे के साथ रिकॉर्डिंग। You can find the payload in the writeup.
Note how to use the env variable to load a library a custom plist was created to inject this library and launchctl
was used to launch it:
By open invocations
यह संभव है कि open
को सैंडबॉक्स में रहते हुए भी बुलाया जा सके
Terminal Scripts
यह तकनीकी लोगों द्वारा उपयोग किए जाने वाले कंप्यूटरों में टर्मिनल को Full Disk Access (FDA) देना काफी सामान्य है। और इसके साथ .terminal
स्क्रिप्ट्स को बुलाना संभव है।
.terminal
स्क्रिप्ट्स plist फ़ाइलें हैं जैसे कि यह एक जिसमें CommandString
कुंजी में निष्पादित करने के लिए कमांड होता है:
एक एप्लिकेशन एक टर्मिनल स्क्रिप्ट को /tmp जैसे स्थान पर लिख सकता है और इसे इस तरह के कमांड के साथ लॉन्च कर सकता है:
By mounting
CVE-2020-9771 - mount_apfs TCC बायपास और विशेषाधिकार वृद्धि
कोई भी उपयोगकर्ता (यहां तक कि बिना विशेषाधिकार वाले) एक टाइम मशीन स्नैपशॉट बना और माउंट कर सकता है और उस स्नैपशॉट के सभी फ़ाइलों तक पहुंच सकता है।
आवश्यक केवल विशेषाधिकार यह है कि उपयोग किए जाने वाले एप्लिकेशन (जैसे Terminal
) को पूर्ण डिस्क एक्सेस (FDA) एक्सेस (kTCCServiceSystemPolicyAllfiles
) होना चाहिए, जिसे एक व्यवस्थापक द्वारा दिया जाना चाहिए।
एक अधिक विस्तृत व्याख्या मूल रिपोर्ट में पाई जा सकती है।
CVE-2021-1784 & CVE-2021-30808 - TCC फ़ाइल पर माउंट करें
यहां तक कि अगर TCC DB फ़ाइल सुरक्षित है, तो एक नया TCC.db फ़ाइल निर्देशिका पर माउंट करना संभव था:
Check the full exploit in the original writeup.
asr
The tool /usr/sbin/asr
allowed to copy the whole disk and mount it in another place bypassing TCC protections.
Location Services
There is a third TCC database in /var/db/locationd/clients.plist
to indicate clients allowed to access location services.
The folder /var/db/locationd/
wasn't protected from DMG mounting so it was possible to mount our own plist.
By startup apps
macOS Auto StartBy grep
In several occasions files will store sensitive information like emails, phone numbers, messages... in non protected locations (which count as a vulnerability in Apple).
Synthetic Clicks
This doesn't work anymore, but it did in the past:
Another way using CoreGraphics events:
Reference
Last updated