0x00 简介
Polkit是Linux上的一个系统服务,其用于实现权限管理,通过给非特权进程授权,允许具有特权的进程(或者库文件lib)给非特权进程提供服务,由于Polkit被systemd使用,所有使用systemd的Linux发行版都会装有Polkit。
。
2021年06月03日,RedHat发布安全公告,修复了Linux Polkit中一个存在了7年的权限提升漏洞(CVE-2021-3560),该漏洞的CVSS评分为7.8,成功利用此漏洞的攻击者能够获得系统上的 root 权限。
0x01 漏洞概述
Polkit授权是通过服务进程polkitd来完成的,当非特权进程需要访问特权进程服务时,特权进程会通过 system message dbus 向 polkitd 请求权限认证。
Polkit 则会根据特权进程提供的信息和权限配置文件进行认证,认证完成后将认证结果返回给特权进程,特权进程会根据认证结果来决定是否给非特权进程提供服务。
而CVE-2021-3560漏洞时polkit服务上的身份验证绕过漏洞,允许非特权用户使用dbus调用特权方法,也就可以调用有账户服务提供的2个特权方法(CreatUser和SetPasswd),所以攻击者就可以调用这两个方法来创建一个超级用户。
0x02 影响版本
RHEL 8
Fedora 21 (or later)
Debian testing ("bullseye")
Ubuntu 20.04
函数polkit_system_bus_name_get_creds_sync用于获取请求操作的进程的uid和pid,该函数通过发送请求进程的唯一总线名称到 dbus-daemon 。这些唯一的名字有dbus-daemon来分配和管理,且该名称不能被伪造,所以这是一个很好的检查进程权限的方法。
而漏洞就产生于请求进程在调用 polkit_system_bus_name_get_creds_sync 之前就与 dbus-daemon 断开连接,导致该进程无法获得进程唯一的uid和pid,也就无法验证请求进程的权限。
0x03 环境搭建
1.下载Ubuntu20.04镜像;
http://releases.ubuntu.com/20.04/ubuntu-20.04.2.0-desktop-amd64.iso
2.在虚拟机上进行安装(可以选择Vmware Workstation),具体安装Ubuntu虚拟机步骤可以自行上网搜索;
3.安装完Ubuntu系统后自行安装必要软件;
sudo apt update
sudo apt install vim
sudo apt install gcc
在后续编译过程中可能会遇到如下编译问题
需要先安装libdbus,执行如下指令
sudo apt install libdbus-glib-1-dev
0x04 漏洞分析
Polkit的应用之一就是pkexec,pkexec与sudo类似&