這篇文章是Pwn2Own比賽期間，研究人員發(fā)現(xiàn)的Parallels Desktop漏洞，Parallels Desktop 被稱為 macOS 上最強(qiáng)大的虛擬機(jī)軟件?？梢栽?Mac 下同時(shí)模擬運(yùn)行 Win、Linux、Android 等多種操作系統(tǒng)及軟件而不必重啟電腦，并能在不同系統(tǒng)間隨意切換。

最新版的 Parallels Desktop 16 (PD16) 完美支持最新的 macOS Big Sur 并對(duì) Windows 10 特別優(yōu)化!可不重啟直接在 Mac 系統(tǒng)上運(yùn)行 Win10 UWP 通用應(yīng)用、運(yùn)行游戲、使用 Windows 版軟件如 Office 辦公軟件、IE 瀏覽器、VisualStudio、AutoCAD 等。新版 PD16 支持 DirectX 11，大幅提升了啟動(dòng)速度以及 3D 游戲圖形性能!!絕對(duì)是 Mac 用戶必備神器。

在Pwn2Own比賽期間，搜索有關(guān)安全性問題時(shí)，我注意到我的研究目標(biāo)很奇怪：Parallels Desktop在主機(jī)操作系統(tǒng)(MacOS)上將用戶的主目錄作為Parallels 共享文件夾共享到Guest OS *，這也是默認(rèn)的，除非你選擇退出并容忍虛擬化可用性問題。對(duì)于任何稍微了解基于unix的操作系統(tǒng)(MacOS就是其中的一個(gè)實(shí)例)并熟悉管理程序的標(biāo)準(zhǔn)安全性期望的人來說，這樣的設(shè)計(jì)決策會(huì)立即引起懷疑，也就是說，評(píng)判任何軟件供應(yīng)商的設(shè)計(jì)決策不是我的工作。讓我們看看它是如何工作的?

在所有以MacOS為實(shí)例的基于Unix的操作系統(tǒng)上，從攻擊者的角度來看，對(duì)用戶主文件夾的寫入訪問本質(zhì)上沒有任何理論上的可能性。雖然經(jīng)典的操作系統(tǒng)長期以來一直接受這個(gè)事實(shí)，并在必要時(shí)按著要求確保特權(quán)不被使用，但虛擬機(jī)管理程序必須以前所未有的新方式來考慮其主機(jī)操作系統(tǒng)設(shè)計(jì)細(xì)節(jié)。

這里的第一個(gè)攻擊媒介是一個(gè)基本腳本，它通常被稱為“bash Profile”:

Profile是針對(duì)每個(gè)帳戶的數(shù)據(jù)存儲(chǔ)，比如一個(gè)電子商務(wù)網(wǎng)站的用戶購物車數(shù)據(jù)。Profile是HttpContext類的一個(gè)屬性，是ProfileBase類，繼承自SettingsBase類。所謂Provider，是你可以定義Profile如何存儲(chǔ)，默認(rèn)是存儲(chǔ)在LocalServer數(shù)據(jù)庫中，需要網(wǎng)站重啟動(dòng)不丟失數(shù)據(jù)，所以不能存在內(nèi)存中。

當(dāng)bash作為交互式登錄shell或具有——login選項(xiàng)的非交互式shell調(diào)用時(shí)，它首先從/etc/profile文件中讀取并執(zhí)行命令(如果該文件存在的話)。讀取該文件后，它將按此順序查找~/.bash_profile, ~/.bash_login,和~/.profile，并從第一個(gè)存在且可讀的命令中讀取和執(zhí)行命令。當(dāng)shell開始禁止此行為時(shí)，可以使用——noprofile選項(xiàng)，MacOS Big Sur的man page(全稱為Manual page，是linux /unix 環(huán)境下命令與函數(shù)的幫助文檔)詳細(xì)介紹了'bash'。

顯然，在Linux上它提供了登錄shell，但是MacOS呢?這里沒有什么特別的：注冊(cè)的交互式shell二進(jìn)制文件在每次你啟動(dòng)終端應(yīng)用程序時(shí)被執(zhí)行或者其他一些進(jìn)程在不可見的情況下為你執(zhí)行。從MacOS Big Sur的摘錄中可以看到，Mac上的交互式shell行為在配置文件讀數(shù)方面完全符合Unix標(biāo)準(zhǔn)。

我們還知道MacOS在一段時(shí)間以前已經(jīng)從bash切換到zsh作為默認(rèn)的交互式shell，這毫不奇怪，因?yàn)樗狭祟愃频姆绞剑?/p>

然后從$ZDOTDIR/.zshenv中讀取命令，如果shell是登錄shell，則從/etc/zprofile讀取命令，然后從$ZDOTDIR/.zprofile讀取命令。然后，如果shell是交互式的，則從/etc/zshrc讀取命令，然后從$ZDOTDIR/.zshrc讀取命令。最后，如果shell是一個(gè)登錄shell，則讀取/ etc / zlogin和$ ZDOTDIR / .zlogin，MacOS Big Sur的man page詳細(xì)介紹了'zsh'。

合并來看就是，在共享的主文件夾中放置一個(gè)惡意二進(jìn)制文件，并從.zprofile或任何其他交互式shell配置文件調(diào)用它。每次啟動(dòng)終端時(shí)，二進(jìn)制文件將在主機(jī)操作系統(tǒng)上執(zhí)行。這構(gòu)成了一個(gè)用戶交互的RCE *plus*持久性，并且在虛擬化上下文中，是一個(gè)完整的訪問到主機(jī)的虛擬機(jī)轉(zhuǎn)義。切記，不要忘記使用.dot文件名模式隱藏ls的惡意內(nèi)容。

是否必須與用戶互動(dòng)?不一定。從基于Unix的操作系統(tǒng)的經(jīng)典和默認(rèn)設(shè)置出發(fā)，Mac有了一個(gè)位于用戶主目錄下的目錄LaunchAgents，該目錄本質(zhì)上是一個(gè)啟動(dòng)文件夾。用戶的應(yīng)用程序可以通過在此處放置名為“ .plist”的特殊格式的配置文件來進(jìn)行自我注冊(cè)，以在啟動(dòng)時(shí)(或更具體地說，在用戶登錄時(shí))運(yùn)行。更多詳細(xì)信息，請(qǐng)參閱Apple的官方文檔。

需要注意的是，交互式shell配置文件和LaunchAgents不會(huì)耗盡攻擊者對(duì)用戶主文件夾的選項(xiàng)。另一件事是，我注意到一些軟件進(jìn)程(如谷歌Chrome的ksfetch updater二進(jìn)制)可以直接從~/Library/ cache運(yùn)行，這也可能被劫持為一個(gè)完全自動(dòng)化的任意代碼執(zhí)行。這里的一般原則是，對(duì)用戶主文件夾的編寫訪問本質(zhì)上等同于以潛在的方式在用戶權(quán)限下執(zhí)行二進(jìn)制文件。

概念驗(yàn)證

這在Parallels Desktop 16.5.0 (M1和Intel)上演示了一個(gè)完整的客戶端到主機(jī)的虛擬機(jī)持久化，安裝了Parallels Tools的Ubuntu 20.04客戶操作系統(tǒng)：

cp mybinary /media/psf/Home/.hello 
 
chmod +x /media/psf/Home/.hello 
 
echo "~/.hello" >> /media/psf/Home/.zprofile 

帶有示例“惡意載荷”的概念驗(yàn)證代碼也鏡像在我的github上。注意，它只包含M1的預(yù)構(gòu)建有效載荷，如果你想在Intel Mac上對(duì)其進(jìn)行測試，則需要對(duì)其進(jìn)行重新構(gòu)建。

總結(jié)

到目前為止，通常認(rèn)為虛擬機(jī)管理程序至少強(qiáng)制執(zhí)行虛擬機(jī)和主機(jī)操作系統(tǒng)之間的一些基本安全邊界和特權(quán)隔離。如果某個(gè)特定的管理程序產(chǎn)品或部署包含違反這一假設(shè)的設(shè)計(jì)原則，則必須在啟動(dòng)虛擬機(jī)時(shí)明確警告用戶，而不需要找出一些特殊的隱藏選項(xiàng)或文檔說明。

在用戶方面，重要的是至少要知道危害系統(tǒng)的最簡單的方法，最容易受到攻擊的媒介通常會(huì)被最具破壞性的惡意軟件利用。

本文翻譯自：https://zerodayengineering.com/blog/dont-share-your-home.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。