macOS Installers Abuse
Основна інформація про pkg
Установочний пакет macOS (також відомий як файл .pkg
) — це формат файлу, який використовується macOS для розповсюдження програмного забезпечення. Ці файли схожі на коробку, яка містить все, що потрібно програмному забезпеченню для правильного встановлення та роботи.
Сам файл пакета є архівом, який містить ієрархію файлів і каталогів, які будуть встановлені на цільовому комп'ютері. Він також може включати скрипти для виконання завдань до та після встановлення, такі як налаштування конфігураційних файлів або очищення старих версій програмного забезпечення.
Ієрархія
Розповсюдження (xml): Налаштування (назва, текст привітання…) та перевірки скриптів/встановлення
PackageInfo (xml): Інформація, вимоги до встановлення, місце встановлення, шляхи до скриптів для виконання
Рахунок матеріалів (bom): Список файлів для встановлення, оновлення або видалення з правами доступу до файлів
Payload (архів CPIO, стиснутий gzip): Файли для встановлення в
install-location
з PackageInfoСкрипти (архів CPIO, стиснутий gzip): Скрипти перед і після встановлення та інші ресурси, витягнуті в тимчасовий каталог для виконання.
Розпакування
Щоб візуалізувати вміст інсталятора без ручного розпакування, ви також можете використовувати безкоштовний інструмент Suspicious Package.
Основна інформація про DMG
Файли DMG, або образи дисків Apple, є форматом файлів, який використовується macOS для образів дисків. Файл DMG по суті є монтуємим образом диска (він містить власну файлову систему), що містить сирі блоки даних, які зазвичай стиснуті і іноді зашифровані. Коли ви відкриваєте файл DMG, macOS монтує його так, ніби це фізичний диск, що дозволяє вам отримати доступ до його вмісту.
Зверніть увагу, що .dmg
інсталятора підтримують так багато форматів, що в минулому деякі з них, що містили вразливості, були зловживані для отримання виконання коду ядра.
Ієрархія
Ієрархія файлу DMG може бути різною в залежності від вмісту. Однак для DMG додатків вона зазвичай має таку структуру:
Верхній рівень: Це корінь образу диска. Він часто містить додаток і, можливо, посилання на папку Додатки.
Додаток (.app): Це фактичний додаток. У macOS додаток зазвичай є пакетом, що містить багато окремих файлів і папок, які складають додаток.
Посилання на Додатки: Це ярлик до папки Додатки в macOS. Мета цього полягає в тому, щоб спростити установку додатка. Ви можете перетягнути файл .app на цей ярлик, щоб встановити додаток.
Підвищення привілеїв через зловживання pkg
Виконання з публічних директорій
Якщо скрипт перед або після установки, наприклад, виконується з /var/tmp/Installerutil
, і зловмисник може контролювати цей скрипт, він може підвищити привілеї щоразу, коли його виконують. Або інший подібний приклад:
AuthorizationExecuteWithPrivileges
Це публічна функція, яку кілька інсталяторів і оновлювачів викликають для виконання чогось від імені root. Ця функція приймає шлях до файлу, який потрібно виконати як параметр, однак, якщо зловмисник може модифікувати цей файл, він зможе зловживати його виконанням з root для підвищення привілеїв.
Для отримання додаткової інформації перегляньте цю доповідь: https://www.youtube.com/watch?v=lTOItyjTTkw
Виконання через монтування
Якщо інсталятор записує в /tmp/fixedname/bla/bla
, можливо створити монтування над /tmp/fixedname
без власників, щоб ви могли модифікувати будь-який файл під час установки для зловживання процесом установки.
Прикладом цього є CVE-2021-26089, який зміг перезаписати періодичний скрипт для отримання виконання як root. Для отримання додаткової інформації перегляньте доповідь: OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl
pkg як шкідливе ПЗ
Порожній вантаж
Можливо просто згенерувати .pkg
файл з скриптами перед і після установки без будь-якого реального вантажу, окрім шкідливого ПЗ всередині скриптів.
JS у файлі distribution xml
Можливо додати <script>
теги у файл distribution xml пакета, і цей код буде виконано, і він може виконувати команди за допомогою system.run
:
Інсталятор з бекдором
Зловмисний інсталятор, що використовує скрипт і JS код всередині dist.xml
References
Last updated