AWS EC2 macOS地方特权升级

我们已经发现两个地方特权升级途径AWS macOS EC2实例。在macOS,从配置中指定启动守护进程,催生了“/图书馆/ LaunchDaemons /”使用root特权运行。默认情况下,macOS EC2实例已经启动守护进程配置如下:

1 /图书馆/ LaunchDaemons ec2-user@Mac-mini ~ % ls
com.amazon.aws.ssm.plist
com.amazon.ec2.ena-ethernet.plist
com.amazon.ec2.macos-init.plist
com.amazon.ec2.monitoring.agents.cpuutilization.plist

其中,com.amazon.ec2.macos-init。plist com.amazon.ec2.monitoring.agents.cpuutilization。plist下面的可执行文件:

ec2-user@Mac-mini ~ % ls过程/usr/local/Cellar/ec2-macos-init / 1.4.1 / bin / ec2-macos-init
-r-xr-xr-x 1 ec2-user管理6874432 3月15日20:23 /usr/local/Cellar/ec2-macos-init / 1.4.1 / bin / ec2-macos-init

ec2-user@Mac-mini ~ % ls过程/usr/local/Cellar/ec2-macos-system-monitor / 1.2.0 / libexec / bin / send-cpu-utilization
-rwxr-xr-x 1 ec2-user管理2815880 3月2日00:22 /usr/local/Cellar/ec2-macos-system-monitor / 1.2.0 / libexec / bin / send-cpu-utilization

上面我们可以看到,上面的文件所有者ec2-user可执行文件。这允许ec2-user修改这些文件没有限制,如交换一些恶意的二进制文件,并将其作为根用户执行下一次LaunchDaemon launchd生成相应的。这有效地允许特权升级ec2-user根。

要注意,我们充分认识到,这不是一个“真正的”安全问题。默认情况下,ec2-user sudo访问,已经可以操作时请与根权限。在macOS EC2实例的情况下共享和配置为限制sudo特权,这可能是一个潜在的途径绕过。显然在这种情况下,管理员可以轻松地重新配置情况和应用相关的权限和移植。我们所做的,不过,相信会好的结合用于二进制文件的权限相关的其他启动守护程序(amazon-ena-ethernet和amazon-ssm-agent)通过改变二进制文件的所有权被ec2-macos-init ec2-macos-system-monitor根而不是目前的ec2-user。亚马逊已经修改这些权限的最新可用的ami。