Cuando realizas una instalación de una aplicación, normalmente se realiza un gesto tan sencillo como arrastrar el contenedor ‘.app’ a carpeta /Applications/. Generalmente esto no debe suponer ningún problema siempre y cuando confiemos en la aplicación, y … en sus permisos en el sistema de archivos.
Los permisos de los ficheros que instalamos deben ser revisados a menudo, ya que hay determinadas aplicaciones que se instalan con permisos inseguros, como es el caso de ‘Zipeg’ (en su última versión).
En este caso, esta aplicación se copia en /Applications/Zipeg.app/ con permisos de drwxrwxrwx. Esto quiere decir que cualquier ususario puede crear ficheros, moverlos y remplazarlos por otros.
Con un simple comando, find /Applications/ -perm -o=w, podremos listar todos los ficheros/directorios contenidos en /Appplications/ sobre los cuales cualquier usuario tiene permisos de escritura.
Como se ve en la siguiente captura de pantalla, la aplicación Zipeg es totalmente insegura, ya que podría ser remplazada o modificada por cualquier usuario.
Poniendo manos a la obra para demostrar como poder explotar este tipo de fallos, crearemos un pequeño script bash que escuchará mediante netcat por el puerto 9999 y ejecutará el comando ‘/usr/bin/id’ como prueba de concepto.
Ese archivo lo utilizaremos para remplazar el fichero original de ‘Zipeg’ llamado ‘JavaApplicationStub’. De este modo, cuando cualquier usuario del sistema ejecute la aplicación ‘Zipeg’, en realidad estará ejecutando el script.
Esto significa que, si un usuario legitimo ejecuta Zipeg, ya sea directamente o indirectamente, por ejemplo intentando descomprimir un fichero comprimido, se lanzará el proceso de netcat.
En la siguiente captura de pantalla se puede ver como el usuario ‘usuario’ con uid 503 realiza una conexión al puerto a la escucha, obteniendo la salida de la ejecución del comando /usr/bin/id por el usuario ‘i64’ con uid 502.
Si la aplicación vulnerable requiriera permisos de administrador para su ejecución, este fallo podría permitir la elevación de privilegios a superusuario, por lo que aconsejamos vigilar los permisos de las aplicaciones instaladas en directorios como /Applications/, /bin/, etc periódicamente mediante el comando find /directorio/ -perm -o=w.
