[하루한줄] macOS Mail 제로 클릭 취약점 - hackyboiz

URL

Zero click vulnerability in Apple’s macOS Mail

Target

• macOS Mojave < 10.14.6
• macOS High Sierra < 10.13.6
• macOS Catalina < 10.15.5

Explain

Apple Mail에서 Mail의 샌드박스 환경 내부에 파일을 추가하거나 수정할 수 있는 zero click 취약점이 발견되었습니다. 해당 취약점을 통해 해커는 비밀번호 초기화를 통해 계정을 탈취할 수 있는 mail redirect 등을 포함하여 메일 설정을 수정할 수 있습니다.

메일에는 다른 메일 사용자가 압축한 첨부파일을 자동으로 압축 해제할 수 있는 기능이 존재합니다. 사용자가 첨부파일로 폴더를 추가하면 자동적으로 x-mac-auto-archive=yes header로 zip 압축됩니다. 다른 사용자가 해당 매일을 받으면 압축 첨부 파일은 자동적으로 압축이 해제됩니다.

해당 취약점을 악용하기 위해선 zip 파일 2개가 필요합니다. 첫번째 zip 파일은 $HOME/Library/Mail의 심볼릭 링크 파일과 1.txt파일을 포함하고 두번째 zip 파일은 $HOME/Library/Mail에 수정하려는 것을 포함합니다. 첫번째 zip 파일은 $TMPDIR/com.apple.mail/bom/에 압축 해제됩니다. filename=1.txt.zip 헤더를 기반으로 1.txt 파일은 메일 디렉터리에 복사됩니다. 그 후 두번째 zip 파일을 통해 메일 애플리케이션의 rule을 overwrite 할 수 있습니다.

이 취약점을 통해 해커는 $HOME/Library/Mail 디렉터리의 모든 파일에 쓰기 권한을 가질 수 있으며 민감한 데이터 누출, 악의적인 설정이 가능하며 원격 코드 실행도 가능성 또한 존재합니다.