今年5月初文件转换程式库Ghostscript的开发团队,他们提及上述应用程式或是网页应用程式,当中的文件转换及预览功能及服务很有可能会造成重大影响,因为这些应用程式或是服务往往在背景执行Ghostscript,对此,研究人员提供Postscript指令码,让使用者检查相关系统是否曝险。
研究人员提到,Safer沙箱的主要功能,是限缩I/O作业内容,一旦启用,将会禁止%pipe%功能,从而达到阻止任意命令执行的目的,并借由路径白名单限制档案的存取。
然而,他们发现,当中的/tmp/资料夹却能让人完整存取、不受限制。也就是说,就算是Postscript指令码处于沙箱环境,仍能完整列出、读取、写入任意资料到/tmp/,因而带来资安风险。
从攻击者的角度来看,这种读写档案的能力,再搭配窜改输出装置及组态的功能,就有机会用于攻击。
研究人员指出,他们可以使用特定命令,将输入设备的型态设置为uniprint(通用印表机),再稍加对于特定加入设备参数,就有机会对不同厂牌及型号的设备下手。
他们借由setpagedevice窜改uniprint,并下达指定upXXXX指令参数,从而存取记忆体堆叠的位置并滥用漏洞,成功达到沙箱逃逸的目的,而能发动完整RCE攻击。
研究人员指出,骇客可以将特定的PostScript档案(EPS)呼叫Ghostscript触发漏洞,或是将其嵌入LibreOffice文件档案,在开启档案的过程触发命令执行。
在Codean Labs公布相关细节后,,攻击者使用伪装成JPG图档的EPS档案发动攻击,从而取得目标系统的Shell存取权限。