Ubuntu LightDM访客账户本地权限提升漏洞

翻译：興趣使然的小胃

预估稿费：100RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

一、漏洞概要

Ubuntu 16.10/16.04 LTS版本的LightDM中存在一个本地权限提升漏洞（CVE-2017-7358）。

Ubuntu是一个开源的操作系统，可以运行在多种平台上，比如在物联网（IoT）设备、智能手机、平板电脑、PC、服务器以及云计算都可以看到它的身影。LightDM（Light Display Manager）是一个X显示管理器（X Display Manager，XDM），旨在为用户提供一种轻量级的、快速的、可扩展的和多桌面化的显示管理器。LightDM可以使用多种前端来绘制登录界面（也可以叫做Greeters）。

二、漏洞细节

漏洞位于LightDM中，具体来说，是位于访客登陆功能中。默认情况下，LightDM允许用户以临时用户方式登录系统，此项功能具体实现位于“guest-account”脚本中。

当你在登录界面以访客身份登录时，系统就会以root身份运行此脚本。Ubuntu的默认登录界面是Unity Greeter。

存在漏洞的函数是“add_account”。

上述代码的第35行，脚本使用“mktemp”命令创建访客文件夹。我们可以通过“inotify”机制监控“/tmp”文件夹，实时发现这种文件夹的创建。

这种文件夹的名称可能包含大写和小写字母。我们发现系统创建此文件夹后，可以快速获取文件夹名称，创建一个名称相同、但字母全部为小写的等效文件夹。

如果我们速度足够快，就可以赶在38行的“mv”命令执行之前，将访客账户的主文件目录劫持到新创建的等效文件夹。

一旦我们控制了访客账户的主文件目录后，我们重命名此目录，替换为指向我们想要控制的另一个目录的符号链接。以下代码会将新用户添加到操作系统中，此时，用户的主目录已经指向我们想要控制的目录，例如“/usr/local/sbin”目录。

攻击者可以抓取新创建用户的ID，监控“/usr/local/sbin”目录的所有权更换情况。如下代码中的“mount”命令会导致目录所有权发生改变。

此时我们可以移除符号链接，使用相同名称创建一个目录，以便访客用户登录系统。访客用户成功登录后，可执行文件的查找路径中会包含用户主目录下的“bin”目录。

这就是为什么我们要创建一个新的符号链接，将访客用户的“bin”目录指向我们希望控制的那个文件目录。这样我们就可以迫使用户以他的user ID执行我们自己的代码。我们使用这种方式注销访客用户的登录会话，这个会话也是我们获取root访问权限的位置所在。

注销代码首先会执行如下代码：

系统会使用脚本所有者身份（也就是root身份）执行这段代码。由于我们已经掌控了“/usr/local/sbin”目录，并且植入了我们自己的“getent”程序，我们此时已经可以使用root权限执行命令。

顺便提一句，我们可以使用以下两条命令，触发访客会话创建脚本的执行。

三、PoC

漏洞PoC包含9个文件，如下所示：

攻击者可以运行如下命令，获取root权限：

如果漏洞利用失败，你只需要再重新运行一次利用代码即可。

root shell获取成功后，你可以根据需要决定是否清理漏洞利用文件及日志，清理命令如下：

具体代码如下。

boc.c

boclocal.c

clean.sh

shell.c

stage1.sh

stage1local.sh

stage2.sh

四、其他说明

独立安全研究员G. Geshev（@munmap）已将该漏洞提交至Beyond Security公司的SecuriTeam安全公告计划。厂商已经发布了补丁来修复此问题，更多细节可以参考此链接。