问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
CVE-2021-3560的漏洞说明及利用流程
漏洞分析
polkit是默认安装在很多Linux发行版上的系统服务。CVE-2021-3560是polkit中潜伏了7年之久的漏洞,于2021年6月份公布。该漏洞能使非特权本地用户获得系统root权限。CVE-2021-3560漏洞于polkit 0.113版引入,但是很多流行的Linux发行版直到最近才引入包含漏洞的版本。
漏洞说明 ==== polkit是默认安装在很多Linux发行版上的系统服务。CVE-2021-3560是polkit中潜伏了7年之久的漏洞,于2021年6月份公布。该漏洞能使非特权本地用户获得系统root权限。CVE-2021-3560漏洞于polkit 0.113版引入,但是很多流行的Linux发行版直到最近才引入包含漏洞的版本。下表展示的是一些流行的Linux发行版及是否包含此漏洞的情况: [![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-eaeae8254a9e58ddd8e10d50c6bcdc4b3308bce6.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-eaeae8254a9e58ddd8e10d50c6bcdc4b3308bce6.jpg) 为了帮助解释该漏洞,首先对dbus-send命令执行过程进行说明。 [![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-7f431d95c60a4f6ba3d7d2230f6c90bdebb7eb86.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-7f431d95c60a4f6ba3d7d2230f6c90bdebb7eb86.png) 虚线上方的两个进程dbus-send和Authentication Agent是非特权用户进程。线下的那些是特权系统进程。中间是dbus-daemon,它处理所有的通信:其他四个进程通过发送 D-Bus 消息相互通信。下面是通过dbus-send创建新用户的事件顺序: 1. dbus-send要求accounts-daemon创建一个新用户。 2. accounts-daemon从dbus-send接收 D-Bus 消息。该消息包含唯一的连接名称,我们假设它是“:1.96”。此名称被dbus-daemon附加到消息中,且不能被伪造。 3. accounts-daemon向polkit询问连接:1.96 是否被授权以创建新用户。 4. polkit向dbus-daemon询问连接:1.96的 UID。 5. 如果连接:1.96 的 UID 为“0”,则 polkit 立即授权该请求。否则,它会向身份验证代理发送允许授权请求的管理员用户列表。 6. Authentication Agent打开一个对话框以从用户那里获取密码。 7. Authentication Agent将密码发送给 polkit。 8. polkit 将“是”回复发送回accounts-daemon。 9. accounts-daemon 创建新的用户帐户。 CVE-2021-3560漏洞位于上述事件序列的第四步。如果 polkit 向dbus-daemon请求总线:1.96 的 UID,但总线:1.96 不再存在,会发生什么?dbus-daemon正确处理这种情况并返回错误。但事实上 polkit 没有正确处理该错误,它没有拒绝请求,而是将请求视为来自 UID 0 的进程。换句话说,它立即授权请求。向dbus-demon请求总线UID的函数为polkit\_system\_bus\_name\_get\_creds\_sync。 利用过程 ==== 操作系统:Ubuntu20.04 该漏洞非常容易被利用,它需要的只是标准的工具,比如终端的几个命令bash、kill和dbus-send,本节中描述的PoC依赖两个软件包accountsservice和gnome-control-center。在 Ubuntu等桌面图形系统上,这两个软件包通常默认安装。该漏洞与accountsservice或gnome-control-center没有任何关系,它们只是 polkit 客户端,同时是方便利用的载体。 为了避免重复触发身份验证对话框,建议从 SSH 会话运行命令: [![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-daecf5063536290a16006acc0882cf11860de113.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-daecf5063536290a16006acc0882cf11860de113.png) 该漏洞是通过启动dbus-send命令但在 polkit 仍在处理请求的过程中将其杀死而触发的。为了确定杀死dbus-send进程的时间,首先我们要测量dbus-send正常运行的时间: [![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-a32a1ebe5108920fc23e904e9ed2190c6e2c64be.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-a32a1ebe5108920fc23e904e9ed2190c6e2c64be.png) 因此我们可以在7毫秒内杀死dbus-send进程进程以触发漏洞,完成用户创建的目的: [![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-8b33488080f42cb3c292374c8d71ab7f4f0f40a1.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-8b33488080f42cb3c292374c8d71ab7f4f0f40a1.png) 接着使用同样的方式为这个用户设置密码: [![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-626e592899d4748338c6961a7739fe03e7f209f9.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-626e592899d4748338c6961a7739fe03e7f209f9.jpg) 最后,我们就可以以boris2身份登录并成为root用户: [![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-5432fc5deaf5a9d446505aee2e99d0d3b1bd972b.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-5432fc5deaf5a9d446505aee2e99d0d3b1bd972b.jpg) 漏洞处理建议 ====== 目前该漏洞已经被修复,建议参考Linux各发行版本的官方通告及时升级更新: RHEL 8: <https://access.redhat.com/security/cve/CVE-2021-3560> Fedora 21及更高版本: [https://bugzilla.redhat.com/show\_bug.cgi?id=1967424](https://bugzilla.redhat.com/show_bug.cgi?id=1967424) Debian testing (“bullseye”): <https://security-tracker.debian.org/tracker/CVE-2021-3560> Ubuntu 20.04: <https://ubuntu.com/security/CVE-2021-3560> 参考 == <https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/#vulnerability> 推荐阅读 ==== [Windows PrintNightmare 漏洞和补丁分析](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247506243&idx=1&sn=9ba44eb64b19d1f1c2a339489fe6008c&chksm=ea94e829dde3613f17a299e52fe4a124684f8b25657d92eafd866be4cff40a216e97d5a36e4d&scene=21#wechat_redirect "Windows PrintNightmare 漏洞和补丁分析") [从 CVE-2020-1048 到 CVE-2020-17001:Windows打印机模块中多个提权漏洞分析](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247497271&idx=1&sn=2e2d557249a47ca2efc27fbbe4fc38e1&chksm=ea94c75ddde34e4b1cb5cb8a5d601959a1d861578b9a4ce383eae9bb56d3e0e41b4acc0b73d7&scene=21#wechat_redirect "从 CVE-2020-1048 到 CVE-2020-17001:Windows打印机模块中多个提权漏洞分析") [微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247502693&idx=1&sn=0daf4033d561438e292f3eb4f09e5a9d&chksm=ea94fa0fdde37319e7b1a6767bf76396b3b91e1326ef9e397b38fe69443f651d7f52581ff9ec&scene=21#wechat_redirect "微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析") [开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247499356&idx=1&sn=f95ec3f9ca222c3ccef3d1162af259b8&chksm=ea94cf36dde34620d380b15d760f31aa5b3729cc379fa68a784ddcefde453df7db3a28a99f29&scene=21#wechat_redirect "开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析") [详细分析开源软件 ExifTool 的任意代码执行漏洞 (CVE-2021-22204)](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247504237&idx=1&sn=d3b3cad0b123062543ec148cde8fa806&chksm=ea94e007dde3691161520343a693bf99a71172d948a1fe66045813a4393431bd49cddf2e6260&scene=21#wechat_redirect "详细分析开源软件 ExifTool 的任意代码执行漏洞 (CVE-2021-22204)") [详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247504045&idx=1&sn=71126e3dac71d3736468e96b9cedf9fe&chksm=ea94e1c7dde368d1ff301fee22cb5a1f5a65c0a967c889a2929ff95928154be87755e720d40d&scene=21#wechat_redirect "详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)") [手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247503816&idx=1&sn=b0ae08a18c52c073c5b068dbd28c3a74&chksm=ea94fea2dde377b43503c1fdb4325ac1559fa8c2b0c6d650e3374d8865a7365aa823a0b16c12&scene=21#wechat_redirect "手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)") [Codecov后门事件验证分析](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247503674&idx=2&sn=b35c0a3d3d1ca1423065739374b05aeb&chksm=ea94fe50dde377465a54d11a561b7f0c5914dc609e0f86bb14ee256c818ac1e1f1c84ae0e905&scene=21#wechat_redirect "Codecov后门事件验证分析") 题图:Pixabay License 本文由奇安信代码卫士原创出品。转载请注明“转自奇安信代码卫士 <https://codesafe.qianxin.com>”。 就点个"赞” 吧~
发表于 2021-07-21 14:27:16
阅读 ( 4679 )
分类:
漏洞分析
0 推荐
收藏
0 条评论
请先
登录
后评论
奇安信代码卫士
2 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!