详解苹果 macOS Mail 中的零点击漏洞

当时我正在研究另外一个漏洞，查看苹果的漏洞奖励类别并开始思考在无需任何用户动作的情况下可能会触发何种向量。显然想到的第一个主意是 Safari。我对 Safari 有一些了解但无法找到任何相关线索。我还想到了 Mail 或 iMessage。出于直觉我认为老旧代码库中隐藏着遗留功能，因此我集中精力攻克 Mail。于是我开始发送测试信息和附件，寄望于找到不同于正常邮件发送接收的异常情况。我发送了这些测试信息并按照 Mail 处理系统调用，了解到所发生的事情以及所接收到的邮件。

描述

Mail 具有一个功能，可自动解压可被另外一名 Mail 用户自动压缩的附件。

在有效的用例中，如果用户创建了邮件并将文件夹添加为附件，那么就会自动压缩，zip 和 x-mac-auto-archive = yes；被添加到 MIME 标头。当另外一名 Mail 用户接收到邮件时，被压缩的附件数据被自动解压。

在研究过程中，我发现部分未压缩数据并未从临时目录中清理，且该目录在Mail 上下文中并非唯一，这就导致可使用这些被压缩文件中的符号链接，获得对 ~/Library/Mail 和 $TMPDIR 的未授权写权限。

事情经过

攻击者向受害者发送了附件为两个 zip 文件的邮件 exploit。当用户接收到邮件时，Mail 进行解析以发现标头为 x-mac-auto-archive=yes 的附件。之后，Mail 会自动解压这些文件。

第1阶段

第一个 zip 中包括一个符号链接，名为 Mail，它指向受害者 “$HOME/Library/Mail” 和文件 1.tex。Zip 被解压到 “$TMPDIR/com.apple.mail/bom/”。基于 “filename=1.txt.zip” 标头，1.txt 被复制到邮件 dir 且一切如常。然而，清理并未立即进行而符号链接被遗留。

第2阶段

第二个 zip 附件中包括想对 “$HOME/Library/Mail” 做出的修改，它会对Library/Mail 提供任意文件写权限。

在案例中，我为 Mail 应用程序编写了新的 Mail 规则。据此我们可以像受害者的 Mail 应用程序增加自动转发规则。

Mail/ZCZPoC 中仅包含一个明问文件，它将被写入 ~/Library/Mail。

覆写 Mail 规则列表

文件可被覆写，而这也是 RulesActiveState.plist 和 SyncedRules.plist 文件发生的情况。

RulesActiveState.plist 的主要作用时激活 SyncedRules.plist 中的规则。

SyncedRules.plist 中包含一个匹配 “AnyMessage” 的规则，而该 PoC 集中的规则是当接收到信息时，让 Mail 应用程序播放莫尔斯电码声音。

如不播放莫尔斯电码声音，它可能是推送规则泄露敏感的邮件数据等。

影响

这种任意写权限使攻击者操控 $HOME/Library/Mail 中的所有文件。她可导致通过操纵 Mail 应用程序的配置，将敏感数据暴露给第三方。可用配置选项可以是用户签名，使该漏洞可蠕虫。

或者也可能导致远程代码执行 (RCE) 漏洞，不过我并没有做出这种尝试。

• 2020-05-16：发现漏洞

• 2020-05-24：完成 PoC 并提交给 Apple

• 2020-06-04：Catalina 10.15.6 Beta 4 发布，含热补丁

• 2020-07-15：Catalina 10.15.6 更新，含热补丁

• 2020-11-12：发布致谢 (CVE-2020-9922)

• 2020-03-30：漏洞奖金仍在评估中