【安全资讯】macOS漏洞(CVE-2023-32428)允许获取根权限，PoC已发布

概要：

近期，安全研究员Gergely Kalman披露了一个高危漏洞，影响Apple的MallocStackLogging框架，该漏洞可能使攻击者在macOS系统上获得本地权限提升（LPE）。该漏洞被标记为CVE-2023-32428，CVSS评分为7.8，显示出开发者工具如何被操控以绕过安全措施并危害高权限操作。

主要内容：

MallocStackLogging是macOS中的调试框架，用于监控内存分配。该漏洞利用了框架动态加载进程的能力，无需特殊权限。Kalman指出，当检测到MallocStack*环境变量时，动态加载器（dyld）会将MallocStackLogging.framework加载到任何进程中。这一功能即使在suid-root二进制文件中也能正常工作，成为攻击者的理想目标。

漏洞的主要危险在于框架如何写入日志文件，Kalman强调：“目标进程对此毫不知情。”这些文件是以运行进程的权限创建的。尽管Apple实施了一些缓解措施，如使用安全标志的open()防止文件覆盖和跟随符号链接，随机化日志文件名以阻止预测尝试，以及限制文件权限以增强安全性，但Kalman指出这些措施存在显著缺陷。

例如，access()在保护文件系统操作方面毫无用处，因为文件可以在权限检查后但在打开之前被交换。此外，open()中的O_NOFOLLOW标志仅防止最后路径组件中的符号链接，其他路径部分仍然容易受到操控。Kalman开发了一种利用竞争条件的攻击，重定向日志文件写入到进程可访问的任意位置。通过与适时的符号链接替换结合，攻击者可以操控特权二进制文件，如crontab，甚至在/etc/sudoers.d中创建文件以在不需要密码的情况下授予根权限。该漏洞影响macOS Ventura 13.3及更早版本，Apple已在macOS Ventura 13.4及iOS、tvOS 16.5中修复了此问题。用户被强烈建议更新设备以避免潜在的利用。