你好,歡迎來到IOS教程網

 Ios教程網 >> IOS使用技巧 >> IOS技巧綜合 >> 黑雲壓城城欲摧

黑雲壓城城欲摧

編輯:IOS技巧綜合
[摘要]本文是對黑雲壓城城欲摧 - 2016年iOS公開可利用漏洞總結的講解,對學習IOS蘋果軟件開發有所幫助,與大家分享。

黑雲壓城城欲摧 - 2016年iOS公開可利用漏洞總結

作者:蒸米,耀刺,黑雪 @ Team OverSky

0x00 序

iOS的安全性遠比大家的想象中脆弱,除了沒有公開的漏洞以外,還有很多已經公開並且可被利用的漏洞,本報告總結了2016年比較嚴重的iOS漏洞(可用於遠程代碼執行或越獄),希望能夠對大家移動安全方面的工作和研究帶來一些幫助。

0x01 iOS 10.1.1 公開的可利用漏洞

1. mach_portal攻擊鏈:該攻擊鏈是由Google Project Zero的Ian Beer公布的。整個攻擊鏈由三個漏洞組成:損壞的內核port的uref可導致任意進程的port被越權替換(CVE-2016-7637),powerd任意port替換可導致DoS(CVE-2016-7661),因為set_dp_control_port沒有上鎖導致的XNU內核UaF(CVE-2016-7644)。

攻擊者先使用CVE-2016-7637將launchd與”com.apple.iohideventsystem”系統服務具有發送權限的port替換成自己控制的進程的port,並攻擊者還具有該port的接收權限。然後,攻擊者利用CVE-2016-7661對powerd這個進程進行DoS,使其重啟。在啟動過程中,因為powerd的啟動需要用到”com.apple.iohideventsystem”系統服務,於是將task port發送給了這個系統服務。但因為攻擊者利用之前的CVE-2016-7637漏洞獲取了”com.apple.iohideventsystem”系統服務port的接收權限,因此攻擊者獲得了powerd的task port,從而控制了具有root權限並且在沙盒外的powerd進程。攻擊者隨後利用powerd進程的task port獲取到了host_priv port,然後利用host_priv port觸發因set_dp_control_port沒有上鎖而導致的XNU內核UaF(CVE-2016-7644)漏洞,從而控制了kernel task port。攻擊者在獲取了kernel task以後,就可以利用系統提供的mach_vm_read()和mach_vm_write()去進行任意內核讀寫了。

2016年12月22日,qwertyoruiop在Ian Beer公布的mach_portal攻擊鏈的基礎上,加入了KPP的繞過、內核patch和cydia的安裝,並在自己的twitter上發布了iOS 10.1.*的越獄。

0x02 iOS 9.3.4 公開的可利用漏洞

1. PEGASUS 三叉戟攻擊鏈:該攻擊鏈是在對阿聯酋的一位人權活動家進行apt攻擊的時候被發現。整個攻擊鏈由三個漏洞組成:JSC遠程代碼執行(CVE-2016-4657),內核信息洩露(CVE-2016-4655),內核UAF代碼執行(CVE-2016-4656)。

在浏覽器漏洞方面,由於iOS系統的JavaScriptCore庫的MarkedArgumentBuffer類在垃圾回收的時候可能會造成內存堆破壞,導致黑客可以使用該漏洞洩露對象地址以及執行任意指令。在內核漏洞方面,由於XNU內核的OSUnserializeBinary()函數在反序列化用戶態傳入的數據時沒有對OSNumber的長度進行校驗,導致可以洩露內核的棧信息。利用精心構造的OSString對象,還可以觸發UAF漏洞並導致內核代碼執行(具體的分析可以參考我們之前的文章:基於PEGASUS的OS X 10.11.6本地提權:https://jaq.alibaba.com/community/art/show?articleid=531)。利用該攻擊鏈可以做到iOS上的遠程完美越獄,可以說是近幾年來影響最大的iOS漏洞之一了。並且在未來,極有可能出現利用該漏洞的iOS大面積掛馬事件。

利用PEGASUS對iOS 9.3.* 32位設備越獄的DEMO:

http://v.youku.com/v_show/id_XMTg4NzA5OTEwOA==.html

0x03 iOS 9.3.3 公開的可利用漏洞

1. IOMobileFramebuffer Heapoverflow 內核漏洞: 該漏洞存在於IOMobileFramebuffer這個內核服務中。在IOMobileFramebuffer::swap_submit(IOMFBSwap *)這個函數中,因為沒有對用戶態傳入的IOMFBSwap數據進行校驗,從而導致內核堆溢出。利用該漏洞可以在沙盒內(不需要沙盒逃逸)直接對內核進行攻擊,並完成非完美越獄。該漏洞在iOS 9.3.3盤古越獄(女娲石)中被使用。

0x04 iOS 9.3.2 公開的可利用漏洞

1. WebKit RCE heapPopMin 遠程代碼執行漏洞: 因為Webkit模塊中的WebCore ::TimerBase::heapPopMin()存在內存破壞漏洞,利用該漏洞可以對iOS設備進行遠程攻擊。當用mobile safari浏覽有惡意攻擊代碼的網頁的時候,safari將會被黑客控制。但要注意的事,被控制的僅僅是safari,想要獲取用戶數據還需要進行沙盒逃逸,想要控制手機還需要對內核進行攻擊。另外,因為webkit不光存在於iOS中,因此該漏洞還被用於PS4,Kindle等設備的越獄。

2. GasGauge 條件競爭內核漏洞: 該漏洞存在於GasGauge這個內核服務中,因為在free內存的時候沒有進行加鎖操作,黑客可以開多個線程進行free操作,當競爭成功的時候可以造成double free的漏洞,隨後可以轉化為任意zone的UAF並控制內核,並完成非完美越獄。需要注意的是,該內核服務並不能在沙盒內直接訪問,所以想要利用該漏洞,需要先做到沙盒逃逸。

0x05 iOS 9.3.1 公開的可利用漏洞

1. inpuTbag Heapoverflow 內核漏洞: 該漏洞是阿裡移動安全的OverSky團隊發現並公布的,該漏洞存在於IOHIDDevice這個內核服務中,因為沒有對Input report的szie做檢測從而造成內核堆溢出。利用該漏洞可以對內核進行攻擊,並完成非完美越獄。需要注意的是,該內核服務需要在沙盒外並擁有"com.apple.hid.manager.user-access-device"這個entilement才能訪問,所以想要利用該漏洞,需要先做到沙盒逃逸,然後繞過entilement的檢測才能利用。

0x06 iOS 9.1 公開的可利用漏洞

1. CVE-2015-7037 Photos 沙盒逃逸漏洞: 該漏洞存在於com.apple.PersistentURLTranslator.Gatekeeper這個系統服務中,在盤古越獄中被使用,通過利用改漏洞,一個在沙盒內的app可以做到mobile權限的沙盒外任意文件讀寫,配合dyld的漏洞可以做到沙盒外的任意代碼執行。

2. CVE-2015-7084 IORegistryIterator 內核漏洞: 該內核漏洞存在於IOKit中,因為IORegistryIterator對象沒有線程互斥的保護,導致對成員進行操作的時候可能出現錯誤。該漏洞可以在沙盒內直接通過race condition觸發, 隨後轉化為內核信息洩露以及內核的代碼執行,並做到非完美越獄。

0x07 iOS 9.0 公開的可利用漏洞

1. CVE-2015-6974 IOHIDFamily 內核漏洞:該漏洞存在於IOHIDResource這個內核服務中,在terminateDevice後,系統沒有將device設置為NULL, 從而造成UAF漏洞。該漏洞在盤古iOS 9.0越獄中被使用,利用該漏洞可以做到內核的任意讀寫,並完成非完美越獄。需要注意的是,該內核服務並不能在沙盒內直接訪問,所以想要利用該漏洞,需要先做到沙盒逃逸。

0x08 總結

可以看到2016年的公開可利用的漏洞數量是非常巨大的,相對2015年可以說是有了一個指數級的增長。雖然蘋果更新系統的速度非常快並且無法降級,但隨著老設備(iPhone 4s及以下已無法升級iOS 10)越來越多,並且用戶對新系統期望越來越低,iOS設備的更新率已經變得非常緩慢。

根據某專業移動分析平台2016年12月的數據可以看到,僅有3.28%的設備更新了最新版的iOS 10.2。這意味著96.72%的設備都有被最近剛發布的mach_portal漏洞攻擊的風險。我們相信,在新的一年,iOS的漏洞數量還會持續增加,並且隨著漏洞利用技術的公開,黑灰產也極有可能利用漏洞對用戶進行攻擊,希望廣大用戶一定要注意自己iOS設備的安全。

最後,對本文提到的漏洞感興趣的同學可以在我們的github上學習相關的資料:https://github.com/zhengmin1989/GreatiOSJailbreakMaterial

更多阿裡安全類技術文章及報告,請訪問阿裡聚安全博客

  1. 上一頁:
  2. 下一頁:
蘋果刷機越獄教程| IOS教程問題解答| IOS技巧綜合| IOS7技巧| IOS8教程
Copyright © Ios教程網 All Rights Reserved