- macOS Calendar में zero-click vulnerability पाई गई
- हमलावर Calendar sandbox environment के भीतर मनमाने files जोड़ या हटा सकते हैं
- malicious code execution और security protections को bypass करने के साथ मिलाकर यह उपयोगकर्ता के संवेदनशील iCloud Photos data से छेड़छाड़ कर सकता है
- Apple ने अक्टूबर 2022 से सितंबर 2023 के बीच सभी vulnerabilities को ठीक कर दिया
vulnerability details
चरण 1: Calendar में arbitrary file write और deletion vulnerability (CVE-2022-46723)
- हमलावर malicious calendar invite के जरिए file attachment शामिल कर सकता है
- attachment के file name का सही तरीके से validation नहीं होता
- ATTACH section में arbitrary path सेट करके directory traversal attack किया जा सकता है
- उदाहरण:
FILENAME=../../../PoC.txt
- file
~/Library/Calendar/PoC.txt में जोड़ दी जाती है
- अगर file पहले से मौजूद हो तो उसे
PoC.txt-2 के रूप में save किया जाता है
- हमलावर द्वारा भेजे गए event/attachment को delete करने पर मूल file (
PoC.txt) हट जाती है
- इस vulnerability का उपयोग file system के भीतर मौजूदा files हटाने के लिए किया जा सकता है
- यह vulnerability macOS Montrey 12.5 में मौजूद थी। macOS 13.0 beta4 इसमें vulnerable नहीं था
चरण 2: arbitrary file write vulnerability का उपयोग करके remote code execution (RCE) हासिल करना
- macOS Ventura के रिलीज़ से ठीक पहले खोजी गई
- macOS version upgrade process का उपयोग करके Calendar की Open File capability के जरिए remote code execution हासिल किया जा सकता है
- कई files को संक्रमित करके RCE exploit trigger किया जाता है
injected file #1: 000Hacked-$RANDOM.calendar
- Siri द्वारा सुझाए गए calendar data जैसा दिखने वाला calendar data शामिल
- recurring events और alerts feature शामिल
injected file #2: CalendarTruthFileMigrationInProgress file
- मौजूदा calendars को नए database में upgrade और merge करता है
injected file #3: CalPoCInit.dmg
- calendar event में शामिल alert file को खोलता है
CalPoCInit.dmg में external Samba server की ओर इशारा करने वाला reference शामिल है
injected file #4: stage1.url
- calendar event में शामिल दूसरा alert file को खोलता है
- Samba mount पर application की ओर इशारा करने वाला URL शामिल है
injected file #5: stage2.url
- calendar event में शामिल तीसरा alert file को खोलता है
- user interaction के बिना malicious application execute होता है
चरण 3: संवेदनशील Photos data तक पहुंच
- Photos की configuration बदलकर iCloud में संग्रहीत photos तक पहुंचा जा सकता है
- TCC protection को bypass करके संवेदनशील user data exfiltrate किया जा सकता है
Photos configuration बदलकर iCloud files तक पहुंच
- हमलावर ऐसा configuration file बनाता है जो Photos की System Photo Library को किसी दूसरे path पर सेट करता है
PhotosPoC.sh चलाने पर नया configuration file import हो जाता है- मूल configuration का backup लिया जाता है और नई configuration
/var/tmp/mypictures/ में save की जाती है
- नई System Photo Library के साथ Photos चलाया जाता है और iCloud sync सक्षम किया जाता है
पूरी chain
- कई चरणों से गुजरकर macOS की सभी security barriers को पार करना पड़ता है
- sandbox को bypass किया जाता है, और SMB trick का उपयोग करके Gatekeeper mitigations को bypass किया जाता है
- TCC protection को bypass करके संवेदनशील data तक पहुंच संभव होती है
timeline
- 2022-08-08: Calendar sandbox में arbitrary file write और deletion की रिपोर्ट
- 2022-10-24: macOS Monterey 12.6.1 और Ventura 13 में fix
- 2022-11-14: PoC भेजा गया, Calendar vulnerability का उपयोग कर arbitrary code execution का तरीका
- 2022-12-04: PoC भेजा गया, iCloud photos access करने का तरीका
- 2023-02-20: CVE-2022-46723 credit और CVE जोड़ा गया
- 2023-03-27: macOS Ventura 13.3 में Gatekeeper bypass fix
- 2023-09-26: CVE-2023-40434 Photos vulnerability fix और credit
- 2023-10-09: Gatekeeper bypass और Photos vulnerability से जुड़ी bug bounty की घोषणा
- 2023-12-21: CVE-2023-40433 Gatekeeper bypass credit
GN⁺ का सार
- यह लेख macOS Calendar की zero-click vulnerability पर केंद्रित है और बताता है कि इसके जरिए हमलावर उपयोगकर्ता के संवेदनशील iCloud Photos data तक कैसे पहुंच सकते हैं
- vulnerability chain कई चरणों से होकर sandbox, Gatekeeper और TCC protections को bypass करती है, जिससे remote code execution और संवेदनशील data access संभव होता है
- यह लेख security researchers और macOS users के लिए महत्वपूर्ण जानकारी देता है और इस बात पर ज़ोर देता है कि Apple ने इन vulnerabilities को fix कर दिया है
- समान functionality वाले अन्य projects में Google Calendar जैसे दूसरे calendar applications शामिल हैं
1 टिप्पणियां
Hacker News टिप्पणियाँ
अगर किसी बड़े tech कंपनी ने इनाम का भुगतान नहीं किया, तो संभव है कि उसके पास कोई वैध कारण हो
मैं iCloud Photo Library इस्तेमाल नहीं करता, लेकिन अगर photo library की location बदलने पर नई location सुरक्षित नहीं होती, तो यह अजीब है
quarantine flag को manipulate करने का एक और तरीका है
पहला चरण अपने आप में ही एक गंभीर vulnerability है
attacker एक malicious calendar invite के जरिए victim की iCloud Photos चुरा सकता है
अगर attacker द्वारा निर्दिष्ट file पहले से मौजूद हो, तो उसे "PoC.txt-2" के रूप में save किया जाता है
bounty status पसंद नहीं आ रहा
जब भी memory safety से अलग कोई security vulnerability सामने आती है, तो रोमांच होता है
सोच रहा हूँ कि क्या Lockdown Mode इसे रोकता है
यह काफ़ी पुराना exploit है